Formation IP Sec

1
IPSec
Formation
2
Sécurité et IP

• IPv4
• La version 4 du protocole Internet (IPv4) est
  celle utilisée par la majorité des routeurs
  actuels. Elle n'offre pas de sécurité
• Contrôle d'authentification
• Chiffrement..
• Son mode de fonctionnement conduit à la mise en
  place de routeurs filtrants (firewalls).
• La refonte de ce protocole en IPnG (IP next
  Generation) ou IPv6 a pris en compte cette
  spécificité en intégrant des facilités
  d'authentification et de confidentialité (IPSec).

3
Sécurité et IP

• IPsec architecture sécurisée pour IP
• Permet de sécuriser les échanges sur un réseau
  TCP/IP au niveau réseau
• Commun à IPv4 et IPv6
• Exemple d'utilisation VPN, accès distant, . . .
  .
• IPsec fournit
• Confidentialité et protection contre l'analyse
  du trafic
• Authentification des données (et de leur origine)
• Intégrité des données (en mode connecté)
• Contrôle d'accès

4
IPsec

• Architecture protocolaire

Application (FTP, Telnet, SNMP, . . .
Transport (TCP, UDP)
IPsec
Nouvelles Implémentations IPv4 (intégrant Ipsec)
IPv6 (intégrant Ipsec)
Implémentations IPv4 existantes
IP
Physique (Ethernet, . . . )
5
Sécurité et IP

• Rappel architecture IPv4

Vers
Hlen
Service type
Total lenght
IDENTIFICATION
F
Fragment offset
Protocol
Header checksum
TTL
_at_ source
_at_ destination
options
6
Sécurité et IP

• Architecture IPv6

En tête de base
Classe trafic
Etiquette de flux
Limite
Lg charge utile
En tête suivante
7
Sécurité et IP

• IPsec fournit
• Confidentialité et protection
• Authentification des données (et de leur origine)
• Intégrité des données
• Le support de ces facilités est obligatoire dans
  la version 6 du protocole IP et sont implantées
  comme des en-têtes d'extension à la suite de
  l'en-tête IP principal.
• Deux en-tête
• En-tête d'extension d'authentification
  (Authentification Header AH)
• En-tête d'extension de confidentialité
  (Encapsulating Security Playload Header ESP)

8
Sécurité et IP

• Architecture IPv6

En tête de base
En tête d'extension AH
En tête d'extension ESP
Données utilisateurs
9
Sécurité et IP

• Deux modes

10
Authentification Header AH

• Cette transformation authentifie, protége en
  intégrité les datagrammes IP et assure une
  protection anti-replay (chaque paquet est
  numéroté par le champ "Sequence Number" de
  l'en-tête AH), et les paquets rejoués ne sont pas
  pris en compte.
• L'authentification est basé sur l'utilisation
  d'un code d'authentification de message ou MAC
  (Message Autentication Code).
• Elle n'apporte pas confidentialité mais assure
  une parade aux attaques basés sur le leurre
  d'adresse IP (IP Spoofing) et sue celles
  utilisant le re-jeu de paquets IP (replay attack)

11
Authentification Header AH
En tête IP
En tête TCP
Données
12
Encapsulating Security Playload ESP

• ESP peur assurer au choix un ou plusieurs des
  services suivants
• Confidentialité des données et protection
  partielle contre l'analyse du trafic si l'on
  utilise le mode tunnel.
• Intégrité des données en mode non connecté et
  authentification de l'origine des données,
  protection partielle contre le re-jeu.
• Contrairement à AH, ou l'on se contenter
  d'ajouter un en-tête supplémentaire au paquet IP,
  ESP fonctionne suivant le principe de
  l'encapsulation les données originales sont
  chiffrées puis en capsulées.

13
Encapsulating Security Playload ESP
En tête IP
En tête TCP
Données
14
Avantages et inconvénients d'IPSec

• Avantages
• Modèle de sécurité flexible et non exhaustif basé
  sur une boîte à outils modulaire
• Possibilité d'instaurer plusieurs crans de
  sécurité chiffrement faible ou fort et/ou
  authentification
• Services de sécurité totalement transparents pour
  les applications
• Inconvénients
• Mécanismes de sécurité trop nombreux, engendrant
  un système complexe
• IPsec interdit la translation d'adresses (Network
  Address Translation)
• L'interaction du protocole IKE avec les
  infrastructures à clé publique (PKI) est possible
  mais il reste à normaliser