La technologie VPN IPSEC est aujourd'hui probablement le type de réseau le plus brisé. C'est pas gratuit si l'on sait que cette technologie comporte beaucoup d'avantages liés à la possibilité de connecter des sites distants, des utilisateurs mobiles, et des partenaires qu'ils soient prés ou éloignés en toute sécurité (oh! oh!).
Le fait que cette technologie soit largement utilisée implique forcement la nécessité de comprendre les concepts fondamentaux, la technologie et les termes.
Qu'est-ce que IPSEC fait réellement?
IPSEC est un standard IETF (RFC 2401-2412) qui nous permet d'envoyer des données privées et confidentielles sur un réseau public comme internet d'une façon très sûre. Pour le faire IPSEC fournit les services suivants
- la confidentialité avec le chiffrement de données
- l'intégrité des données transmises grâce à des checksum
- l'authentification du vis à vis (peer) en utilisant une clé partagée ou un certificat numérique
Pour fournir le chiffrement, IPSEC utilise une clé de chiffrement symétrique. Ceci suppose que les deux éléments impliqués dans une session IPSEC ont la même clé et que cette dernière est bien protégée voire souvent même changée pour assurer un bon niveau de sécurité. Pour faciliter cette gestion des clés de chiffrement , Cisco IOS utilise le protocole Internet Key Exchange (IKE). IKE est responsable de ce qui suit:
- négocie une security association (SA)
- génère automatiquement les clés de chiffrement
- rafraîchit automatiquement les clés de chiffrement
Durant le processus IKE, un canal sécurisé est négocié. Pour cela , IKE peut opérer suivant trois modes. Le processus IKE se décompose en deux phases.
Phase 1: négocie une SA pour le canal sécurisé. Elle utilise soit le mode principal ou agressif
Phase 2: utilise la SA de phase 1 pour négocier les règles de chiffrement pour le traffic qu'il faut protéger, et deux autres SAs sont générées. Elle utilise le mode rapide
Le mode principal diffère du mode agressif du fait que le mode agressif compresse la négociation d'une SA en trois packets et est plus rapide que le mode principal. Le mode rapide est utilisé dans la phase 2.
Il existe une phase optionnelle souvent appelée Phase 1.5 pour gerer l'authentification
En résumé le processus est le suivant
- IKE phase 1 négocie transform sets, méthode de hachage, et d'autres paramètres
- IKE phase 1.5 effectue extended authentication (XAUTH) pour le peer
- IKE phase 2 est négocié par Internet Security Association and Key Management (ISAKMP) en utilisant la méthode rapide
Encapsulating Security Payload and Authentication Header
ESP (Protocole 50) est le coeur de IPSEC. ESP est l'entête placée devant les données chiffrées. ESP fournit les données chiffrées d'un point à un autre, et il assure également l'authentification.
AH (protocole 51) fournit simplement une authentification des données mais n'offre aucun service de chiffrement
Fig 1:Voir le packet original, Chiffrement ESP, Chiffrement et Authentification ESP, et Authentification AH
Lorsqu'on utilise IPSEC, nous pouvons utiliser un des deux modes. C'est à dire le mode tunnel ou le mode transport . Le mode tunnel est le mode par défaut de Cisco. Le mode tunnel cache l'adresse IP original et place une nouvelle IP d'enête en face de l'entête ESP pour les besoins du routage. Le mode transport est souvent utilisé avec les tunnels generic routing encapsulation (GRE) car le mode transport ne cache pas l'adresse IP original mais GRE le fait. Quand le mode tunnel est activé, les packets sont plus large de 20bytes par rapport au mode transport
Fig 2: Mode Tunnel vs Mode Transport
MD5 et SHA-1
IPSEC utilise Hashed Message Authentication Code (HMAC) pour fournir un message d'authentification et des checks d'intégrité.
HMAC utilise MD5, une fonction de hachage de 128bits, ou Secure Hash Algorithm 1 (SHA1), une fonction de hachage de 160bits. Seulement, les premiers 96 bits sont utilisés par IPSEC et est plus lent que MD5.
Clés de chiffrement
IPSEC utilise un algorithme de chiffrement symétrique. Ces algorithmes incluent les exemples suivants:
- Data Encryptions Standard (DES)
- Triple DES (3DES)
- Advanced Encryption Standard (AES)
Diffie-Hellman
Le protocole DH est utilisé pour établir les clés secrètes partagées sur un canal non protégé.
Merci pour vos commentaires et suggestions!!
Article intéressant M. FALL. Etant fan de la pratique, j'attends impatiemment l'article sur la configuration d'un tunnel VPN Site-to-Site.
RépondreSupprimer