Présentation
Auteur(s)
-
Maryline LAURENT-MAKNAVICIUS : Maître de conférences - Institut national des télécommunications (INT), Évry
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleINTRODUCTION
Pour faciliter les communications inter‐ et intra-entreprises, et ainsi pour améliorer leurs relations commerciales et leur productivité, de nombreuses entreprises se connectent à l'Internet, voire se tournent vers des sociétés spécialisées (fournisseurs d'accès Internet, opérateurs...) pour souscrire un service de VPN (Virtual Private Network). Ces réseaux privés virtuels consistent à interconnecter les réseaux d’une ou plusieurs entreprises au travers d'une infrastructure de réseau public, en garantissant, dans la plupart des cas, une certaine qualité de service.
Dès qu'une entreprise effectue des échanges au travers d'un réseau public, sans verser dans la paranoïa, il est important de rester très prudent. En effet, rien ne prouve que ces échanges ne feront pas l'objet d'écoutes lors de leur transfert et qu'ainsi leur teneur ne sera pas révélée à un tiers. C'est l'une des multiples formes que peut prendre l'espionnage industriel. De plus, rien n’assure non plus que le trafic reçu provienne bien du terminal déclaré et qu'il n'est pas issu d'un terminal malveillant ayant usurpé l'identité d'un terminal légitime.
Pour répondre à cette problématique, la solution la plus naturelle et la plus répandue consiste à utiliser le protocole IPsec (IP security), la version sécurisée d'IP. Ce protocole proposé par l'Internet Engineering Task Force (IETF) permet en effet d'authentifier l’origine de paquets IP et de garantir leur confidentialité et leur intégrité. Du fait que la très grande majorité des réseaux d'entreprise repose sur le protocole IP, IPsec apparaît comme la solution la plus naturelle. IPsec est d'ailleurs proposé dans quasiment toutes les offres commerciales de VPN pour assurer la protection des échanges IP, et ce quel que soit le type de réseau de transport exploité dans l'interconnexion (MPLS, IP...).
Cet article décrit le protocole IPsec, en particulier les deux protocoles AH (Authentication Header) et ESP (Encapsulating Security Payload), ainsi que les différents modes d'utilisation. Les problèmes de compatibilité d’IPsec avec les mécanismes de base comme la traduction d’adresses et la fragmentation sont exposés, ainsi que les solutions de sécurité alternatives de type SSL et SHTTP à .
Cet article est réservé aux abonnés.
Il vous reste 95 % à découvrir.
Déjà abonné ? Se connecter
VERSIONS
- Version courante de nov. 2007 par Maryline LAURENT-MAKNAVICIUS
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Archives > [Archives] Réseaux et télécommunications > Protocole IPsec > En-tête d’authentification AH
Présentation
En-tête ESPArticle inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
4. En-tête d’authentification AH
L’en-tête d’authentification (AH pour Authentication Header) garantit au récepteur du paquet IP que l’identité de son émetteur est bien celle déclarée dans le paquet. Il permet aussi de garantir au récepteur que personne n’a modifié le contenu d’un paquet lors de son transfert sur le réseau. Il peut optionnellement servir à s’assurer que le paquet n’est pas rejoué par une personne malveillante.
Pour assurer l’ensemble de ces services, il faut adjoindre au paquet IP émis un authentificateur dont la validité sera vérifiée par l’équipement de sécurité récepteur. Pour éviter que les modifications apportées par le réseau n’aboutissent, au niveau de l’équipement de sécurité récepteur, à de nombreux rejets de paquets pourtant légitimes, l’authentificateur doit être calculé sur les champs dont on est sûr qu’ils ne seront pas modifiés par le réseau 4.3.
4.1 Modes de protection
Suivant le mode de protection sélectionné, l’en-tête d’authentification ne porte pas sur les mêmes champs et n’est pas positionné au même endroit.
Pour le mode transport, comme le montre la figure 8a, l’authentificateur ne protège que le contenu du paquet IP ainsi que les champs de l’en-tête IP qui ne sont pas amenés à subir de modifications lors du transfert du paquet sur le réseau. L’en-tête AH est placé entre l’en-tête IP original du paquet IP original et le contenu du paquet.
Pour le mode tunnel, le paquet IP original arrivant sur un équipement tunnelier est encapsulé dans un nouveau paquet IP. La protection offerte par l’en-tête AH porte alors sur tout le paquet IP original et sur les champs en-tête et options du nouveau paquet (figure 8b ) qui ne sont pas modifiables par le réseau de transit. L’en-tête AH est à placer entre l’en-tête du nouveau paquet construit et le paquet IP original.
HAUT DE PAGE4.2 Contenu
L’en-tête AH contient...
Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.
Déjà abonné ? Se connecter
En-tête d’authentification AH
Article inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
BIBLIOGRAPHIE
-
(1) - CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) - La sécurité des réseaux sans fil et mobiles – volume 1 : Concepts fondamentaux - – 1ère édition, traité IC2, Hermès, avril 2007.
-
(2) - CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) - La sécurité des réseaux sans fil et mobiles – volume 3 : Technologies émergentes - – 1ère édition, traité IC2, Hermès, mars 2007, ISBN 3 978-2-7462-1699-0.
-
(3) - CIZAULT (G.) - IPv6 Théorie et pratique - . 3ème édition, O'Reilly, 2005.
-
(4) - COMBES (J.-M.), MIGAULT (D.), BOURNELLE (J.), CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) - Sécurité des réseaux mobiles IP - – chapitre du traité IC2 .
-
(5) - RESCORLA (E.) - SSL and TLS : Designing and building secure systems - – 2nd edition, Addison-Wesley, 2001.
-
...
Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.
Déjà abonné ? Se connecter
Article inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
