Présentation

Article

1 - PROBLÉMATIQUE DE SÉCURITÉ ET PREMIERS ÉLÉMENTS DE RÉPONSE

2 - CARACTÉRISTIQUES ET FONCTIONNEMENT GÉNÉRAL DE LA SUITE DE PROTOCOLES IPSEC

3 - POLITIQUE DE SÉCURITÉ : LES ASSOCIATIONS DE SÉCURITÉ

4 - EN-TÊTE D'AUTHENTIFICATION AH

5 - EN-TÊTE ESP

6 - PROTOCOLE IKE DE GESTION DYNAMIQUE DES ASSOCIATIONS DE SÉCURITÉ

7 - IPSEC APPLIQUÉ AU PROTOCOLE IPV6

8 - POUR UNE MEILLEURE COMPATIBILITÉ ENTRE IPSEC ET NAT

9 - USAGE DE IPSEC DANS LA CONSTRUCTION DE VPN

10 - POSITIONNEMENT DES VPN IPSEC PAR RAPPORT AUX VPN SSL ET SSH

11 - IPSEC AU SERVICE DE LA MOBILITÉ IPV6

12 - CONCLUSION

13 - BIBLIOGRAPHIE

Article de référence | Réf : TE7545 v2

Politique de sécurité : les associations de sécurité
Suite de protocoles IPsec au service des VPN et de la mobilité

Auteur(s) : Maryline LAURENT-MAKNAVICIUS

Date de publication : 10 nov. 2007

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

Dès que des communications d'une entreprise sont effectuées au travers d'un réseau public, il est important de rester très prudent. Pour répondre à cette problématique de sécurité, le protocole IPsec, la version sécurisée d'IP, s'avère être la solution la plus complète répondant au plus grand nombre de scénarii. Les problèmes de compatibilité de la suite IPsec avec les mécanismes de base sont exposés. L'usage qui est fait d'IPsec pour sécuriser les VPN, dans le cas de l'interconnexion de réseaux privés distants et de l'accès distant s'y trouve décrit de manière détaillée.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Where the communication of a company is carried out via a public network it is important to remain extremely cautious. In order to address this safety issue, the Ipsec protocol, the secured version of IP appears to be the most comprehensive solution meeting the largest amount of scenarios. The compatibility issues of the IPsec suite with basic mechanisms are presented in this article. The use made of IPsec in order to secure the VPNs in the case of the interconnection of remote private networks and of remote access are also detailed.

Auteur(s)

  • Maryline LAURENT-MAKNAVICIUS : Professeur GET/INT, Institut national des télécommunications, Evry

INTRODUCTION

Pour faciliter leurs communications inter et intra entreprises et améliorer ainsi leurs relations commerciales et leur productivité, de nombreuses entreprises se donnent les moyens d'avoir des outils de communication efficaces et sûrs. Généralement, les entreprises souscrivent un service de VPN (Virtual Private Network) auprès de sociétés spécialisées (fournisseurs d'accès Internet, opérateurs, ...).

À l'avenir, ces entreprises souhaiteraient offrir encore plus de flexibilité à leurs employés en leur permettant de communiquer avec tout type d'équipement (contrôlé, bien sûr), en tout lieu et même en se déplaçant. Aujourd'hui, les techniques associées à la mobilité et à la sécurité ne permettent pas d'offrir une telle flexibilité, mais la communauté scientifique y travaille.

Souhaits
Inquiétudes

Dès que des communications d'une entreprise sont effectuées au travers d'un réseau public, sans verser dans la paranoïa, il est important de rester très prudent. En effet, qu'est-ce qui prouve que ces échanges ne feront pas l'objet d'écoutes lors de leur transfert et qu'ainsi leur teneur ne sera pas révélée à un tiers ? C'est l'une des multiples formes que peut prendre l'espionnage industriel.

De plus, qu'est-ce qui assure que le trafic reçu provient bien du terminal déclaré et qu'il n'est pas issu d'un terminal malveillant ayant usurpé l'identité d'un terminal légitime ? Cette dernière question s'avère d'autant plus problématique qu'à terme il est fort probable qu'un utilisateur pourra se connecter à son réseau d'entreprise depuis tout type de terminaux.

Réponses et évolutions

Pour répondre à cette problématique de sécurité, le protocole IPsec (IP security), la version sécurisée d'IP, s'avère être la solution la plus complète répondant au plus grand nombre de scénarii.

Ce protocole, standardisé par l'IETF, permet en effet d'authentifier les entités communicantes, d'assurer l'authenticité, l'intégrité et la confidentialité des données échangées, et de maintenir un niveau de sécurité acceptable, tout au long des connexions, par la mise à jour périodique des paramètres de sécurité. IPsec est largement employé aujourd'hui, dans un contexte de VPN, pour sécuriser l'interconnexion de réseaux privés distants et, dans une moindre mesure, pour sécuriser l'accès distant opéré par un nomade à son réseau privé d'entreprise. Sur ce dernier point, l'offre IPsec est concurrencée par l'offre VPN SSL (Secure Socket Layer).

Si la tendance se confirme, les infrastructures réseaux des opérateurs devraient progressivement évoluer vers le « tout IP » et la solution IPsec devrait ainsi connaître de nouveaux usages.

Précisions

Ce dossier décrit la suite de protocoles IPsec, en particulier les trois sous-protocoles : AH (Authentication Header), ESP (Encapsulating Security Payload), et IKE (Internet Key Exchange).

Les problèmes de compatibilité de la suite IPsec avec les mécanismes de base, comme la traduction d'adresses, sont exposés. L'usage qui est fait d'IPsec pour sécuriser les VPN, dans le cas de l'interconnexion de réseaux privés distants et de l'accès distant s'y trouve décrit de manière détaillée. En particulier, le fonctionnement de la solution standard « L2TP over IPsec », dans le cas de l'accès distant, y est expliqué.

Une comparaison avec d'autres solutions de VPN basées sur les protocoles SSL ou SSH est présentée, de manière à permettre aux lecteurs de placer chacun de ces protocoles dans leurs usages et limites. Le dossier conclut en décrivant le rôle fondamental que devrait jouer IPsec dans la sécurisation des réseaux mobiles futurs basés sur le protocole de mobilité IPv6 et présente les nouveaux défis à relever.

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-te7545


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

3. Politique de sécurité : les associations de sécurité

La politique de sécurité est l'ensemble des paramètres de sécurité nécessaires à la protection du site. Cela regroupe les mécanismes de sécurité pour protéger les connexions, ces derniers nécessitant, généralement, des précisions supplémentaires comme le type d'algorithme de chiffrement et les clés de chiffrement à utiliser.

La politique de sécurité pour IPsec se décline sous forme d'associations de sécurité . C'est-à-dire, au début, les deux équipements de sécurité (terminaux, passerelles de sécurité) qui veulent protéger leurs échanges disposent chacun de leur propre politique de sécurité dictée par leur officier de sécurité respectif.

Lorsqu'ils veulent entrer en communication, ils doivent, en fonction de leur politique dé sécurité, se mettre d'accord sur le type d'en-tête de sécurité à introduire/extraire dans les paquets IP, ainsi que sur les services et les paramètres de sécurité (algorithmes et clés de chiffrement, etc.) à utiliser en vue de protéger les échanges de paquets IP. Le résultat de cette négociation est appelé : « association de sécurité ».

Une association de sécurité est identifiée, de façon unique, par un indice de paramètre de sécurité ou SPI (Security Parameters Index), voire en plus le protocole de sécurité AH ou ESP employé.

Dans le cas d'une connexion multicast, une association de sécurité sera identifiée par le SPI et l'adresse de destination, voire, en plus, l'adresse source. Une association de sécurité ne permet d'activer qu'un seul des deux sous-protocoles AH ou ESP. Cependant si AH et ESP sont requis pour assurer la protection d'une même connexion, deux associations de sécurité sont alors nécessaires.

Une association de sécurité est unidirectionnelle. Une communication bidirectionnelle, passée entre deux terminaux A et B, nécessite donc l'intervention de deux associations de sécurité, celle utilisée par A pour protéger les datagrammes de A vers B, et celle utilisée par B pour la protection des datagrammes de B vers A.

Dans le cas d'une communication bidirectionnelle protégée par, à la fois, AH et ESP, quatre associations de sécurité sont nécessaires.

...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Politique de sécurité : les associations de sécurité
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) -   La sécurité des réseaux sans fil et mobiles – volume 1 : Concepts fondamentaux  -  – 1ère édition, traité IC2, Hermès, avril 2007.

  • (2) - CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) -   La sécurité des réseaux sans fil et mobiles – volume 3 : Technologies émergentes  -  – 1ère édition, traité IC2, Hermès, mars 2007, ISBN 3 978-2-7462-1699-0.

  • (3) - CIZAULT (G.) -   IPv6 Théorie et pratique  -  . 3ème édition, O'Reilly, 2005.

  • (4) - COMBES (J.-M.), MIGAULT (D.), BOURNELLE (J.), CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) -   Sécurité des réseaux mobiles IP  -  – chapitre du traité IC2 .

  • (5) - RESCORLA (E.) -   SSL and TLS : Designing and building secure systems  -  – 2nd edition, Addison-Wesley, 2001.

  • ...

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS