logo

TechCodeview

Sécurité IP (IPSec)

Prérequis: Types de protocole Internet

IP Sec (Internet Protocol Security) est une suite standard de protocoles de l'Internet Engineering Task Force (IETF) entre deux points de communication sur le réseau IP qui assurent l'authentification, l'intégrité et la confidentialité des données. Il définit également les paquets chiffrés, déchiffrés et authentifiés. Les protocoles nécessaires à l'échange sécurisé des clés et à la gestion des clés y sont définis.



Utilisations de la sécurité IP

IPsec peut être utilisé pour effectuer les opérations suivantes :

  • Pour chiffrer les données de la couche application.
  • Assurer la sécurité des routeurs qui envoient des données de routage sur l’Internet public.
  • Fournir une authentification sans cryptage, comme authentifier que les données proviennent d'un expéditeur connu.
  • Protéger les données du réseau en configurant des circuits utilisant le tunneling IPsec dans lequel toutes les données envoyées entre les deux points de terminaison sont cryptées, comme avec une connexion de réseau privé virtuel (VPN).

Composants de la sécurité IP

Il comporte les composants suivants :

  1. Encapsulation de la charge utile de sécurité (ESP)
  2. En-tête d'authentification (AH)
  3. Échange de clés Internet (IKE)

1. Encapsulation de la charge utile de sécurité (ESP) : Il assure l’intégrité des données, le cryptage, l’authentification et l’anti-rejeu. Il fournit également une authentification pour la charge utile.



2. En-tête d'authentification (AH) : Il assure également l’intégrité des données, l’authentification et l’anti-rejeu et ne fournit pas de cryptage. La protection anti-rejeu protège contre la transmission non autorisée de paquets. Il ne protège pas la confidentialité des données.

En-tête IP

En-tête IP

3. Échange de clés Internet (IKE) : Il s'agit d'un protocole de sécurité réseau conçu pour échanger dynamiquement des clés de cryptage et trouver un moyen d'établir une association de sécurité (SA) entre 2 appareils. L'association de sécurité (SA) établit des attributs de sécurité partagés entre 2 entités réseau pour prendre en charge une communication sécurisée. Le protocole ISAKMP (Key Management Protocol) et l'Internet Security Association fournissent un cadre pour l'authentification et l'échange de clés. ISAKMP indique comment la configuration des associations de sécurité (SA) et comment les connexions directes entre deux hôtes utilisent IPsec. Internet Key Exchange (IKE) fournit une protection du contenu des messages ainsi qu'un cadre ouvert pour la mise en œuvre d'algorithmes standard tels que SHA et MD5. Les utilisateurs IP sec de l’algorithme produisent un identifiant unique pour chaque paquet. Cet identifiant permet ensuite à un appareil de déterminer si un paquet était correct ou non. Les paquets non autorisés sont rejetés et ne sont pas remis au destinataire.



Paquet dans le protocole Internet

Paquets dans le protocole Internet

Architecture de sécurité IP

L'architecture IPSec (IP Security) utilise deux protocoles pour sécuriser le trafic ou le flux de données. Ces protocoles sont ESP (Encapsulation Security Payload) et AH (Authentication Header). L'architecture IPSec comprend des protocoles, des algorithmes, des DOI et la gestion des clés. Tous ces composants sont très importants pour fournir les trois services principaux :

  • Confidentialité
  • Authenticité
  • Intégrité
Architecture de sécurité IP

Architecture de sécurité IP

Travailler sur la sécurité IP

  • L'hôte vérifie si le paquet doit être transmis via IPsec ou non. Ce trafic de paquets déclenche lui-même la politique de sécurité. Cela se fait lorsque le système qui envoie le paquet applique un cryptage approprié. Les paquets entrants sont également vérifiés par l'hôte pour s'assurer qu'ils sont correctement chiffrés ou non.
  • Ensuite, la phase 1 d'IKE commence au cours de laquelle les 2 hôtes (en utilisant IPsec) s'authentifient l'un auprès de l'autre pour démarrer un canal sécurisé. Il dispose de 2 modes. Le mode Main offre une plus grande sécurité et le mode Aggressif qui permet à l'hôte d'établir un circuit IPsec plus rapidement.
  • Le canal créé à la dernière étape est ensuite utilisé pour négocier en toute sécurité la manière dont le circuit IP chiffrera les données sur le circuit IP.
  • Désormais, la phase 2 d'IKE est menée sur le canal sécurisé dans lequel les deux hôtes négocient le type d'algorithmes cryptographiques à utiliser lors de la session et conviennent du matériel de clé secrète à utiliser avec ces algorithmes.
  • Ensuite, les données sont échangées via le tunnel crypté IPsec nouvellement créé. Ces paquets sont chiffrés et déchiffrés par les hôtes à l'aide de SA IPsec.
  • Lorsque la communication entre les hôtes est terminée ou que la session expire, le tunnel IPsec est terminé en supprimant les clés par les deux hôtes.

Caractéristiques d'IPSec

  1. Authentification: IPSec permet l'authentification des paquets IP à l'aide de signatures numériques ou de secrets partagés. Cela permet de garantir que les paquets ne sont pas falsifiés ou falsifiés.
  2. Confidentialité: IPSec assure la confidentialité en cryptant les paquets IP, empêchant ainsi toute écoute clandestine du trafic réseau.
  3. Intégrité: IPSec assure l'intégrité en garantissant que les paquets IP n'ont pas été modifiés ou corrompus pendant la transmission.
  4. Gestion des clés : IPSec fournit des services de gestion de clés, notamment l'échange de clés et la révocation de clés, pour garantir que les clés cryptographiques sont gérées en toute sécurité.
  5. Tunnelisation : IPSec prend en charge le tunneling, permettant aux paquets IP d'être encapsulés dans un autre protocole, tel que GRE (Generic Routing Encapsulation) ou L2TP (Layer 2 Tunneling Protocol).
  6. La flexibilité: IPSec peut être configuré pour assurer la sécurité d'un large éventail de topologies de réseau, notamment les connexions point à point, site à site et d'accès à distance.
  7. Interopérabilité : IPSec est un protocole standard ouvert, ce qui signifie qu'il est pris en charge par un large éventail de fournisseurs et peut être utilisé dans des environnements hétérogènes.

Avantages d'IPSec

  1. Sécurité renforcée : IPSec fournit de solides services de sécurité cryptographique qui aident à protéger les données sensibles et à garantir la confidentialité et l'intégrité du réseau.
  2. Large compatibilité : IPSec est un protocole standard ouvert largement pris en charge par les fournisseurs et peut être utilisé dans des environnements hétérogènes.
  3. La flexibilité: IPSec peut être configuré pour assurer la sécurité d'un large éventail de topologies de réseau, notamment les connexions point à point, site à site et d'accès à distance.
  4. Évolutivité : IPSec peut être utilisé pour sécuriser des réseaux à grande échelle et peut être augmenté ou réduit selon les besoins.
  5. Performances réseau améliorées : IPSec peut contribuer à améliorer les performances du réseau en réduisant la congestion du réseau et en améliorant son efficacité.

Inconvénients d'IPSec

  1. Complexité de configuration : IPSec peut être complexe à configurer et nécessite des connaissances et des compétences spécialisées.
  2. Problèmes de compatibilité: IPSec peut rencontrer des problèmes de compatibilité avec certains périphériques et applications réseau, ce qui peut entraîner des problèmes d'interopérabilité.
  3. Impact sur les performances : IPSec peut avoir un impact sur les performances du réseau en raison de la surcharge de chiffrement et de déchiffrement des paquets IP.
  4. Gestion des clés : IPSec nécessite une gestion efficace des clés pour garantir la sécurité des clés cryptographiques utilisées pour le chiffrement et l'authentification.
  5. Protection limitée : IPSec assure uniquement la protection du trafic IP, et d'autres protocoles tels que ICMP, DNS et les protocoles de routage peuvent toujours être vulnérables aux attaques.