Documente Academic
Documente Profesional
Documente Cultură
connecte.
Pour les problmatiques de liaison site site, on prendra IPsec qui est le
seul des trois protocoles offrir un service de tunnel rseau rseau. Ce
type de lien tant permanent, le niveau de scurit ncessaire n'est en outre
fourni que par IPsec : authentification, chiffrement, intgrit, renouvellement
priodique des cls.
La mise en place d'extranets n'est pas chose simple. Elle s'appuie sur IPsec,
mais demande la mise en oeuvre de procds compliqus, difficiles mettre en
oeuvre.
L'avenir des VPNs ?
Par son intgration par l'IETF dans IPv6, IPSEC constitue l'avenir des rseaux
privs virtuels sur IP. C'est pourquoi IPSRA (IP Secure Remote Access), un
protocole exploitant les extensions IPsec pour l'tablissement de VDPN, est en
cours de formalisation.
En attendant l'avnement de la version 6 d'IP, il est bon d'essayer de se
tourner au maximum vers IPsec. Si le march manquait d'outils permettant un
bonne intgration de ce protocole au sein des outils de gestion de politique de
scurit, ce n'est plus le cas. De nombreux constructeurs et diteurs offrent
aujourd'hui dans leur gamme des produits permettant de raliser des liens IPSEC
de manire simple, aussi bien pour raliser des liens site site que des
extranets, et mme des connexions VDPN.
En outre, IPSEC, parce qu'il supporte les certificats x509, peut tre interfac
avec un infrastructure cls publiques (PKI), permettant ainsi l'intgration
complte du VPN dans la politique de scurit de l'entreprise.
------------Encadr : IPsec
AH permet d'assurer l'intgrit des paquets IP entiers (entte et donnes)
impliqus dans le transport des paquets du tunnel, l'aide de rsums
cryptographiques de 96 bits calculs l'aide de variantes des algorithmes MD5
ou SHA-1 (respectivement HMAC-MD5-96 et HMAC-SHA-1-96). ESP permet d'assurer
l'intgrit des donnes transportes par le tunnel par les mmes procds que
AH, et la confidentialit de ces donnes soit par algorithme DES-CBC, avec cl
de 56 bits, soit par son successeur, 3DES-CBC, par cls 168 bits. D'autres
algorithmes peuvent galement tre utiliss, mais ne sont pas obligatoirement
disponibles sur toutes les plate-formes.
AH peut tre utilis seul si on ne souhaite pas chiffrer. ESP peut lui aussi
tre utilis seul, auquel cas on ne vrifie pas l'intgrit des paquets IP
sous-jacents. L'association de AH et ESP permet d'atteindre le niveau maximum
de scurit.
En raison de la vrification d'intgrit des paquets, IPsec pose des problmes
de compatibilit avec les quipements ralisant de la traduction d'adresses
(NAT) qui ne fonctionnent qu'avec ESP en mode tunnel. En effet, la modification
des enttes du paquet IP n'est ni compatible avec AH, ni avec ESP en mode
transport. C'est pourquoi les fonctions IPsec sont le plus souvent ralises
par les quipements qui grent la traduction d'adresses.
----------Figure : les diffrents cas de VPN.