Documente Academic
Documente Profesional
Documente Cultură
IP security Protocol
Plan
I. Application IPsec : les VPN
II.
II. Normalisation d'IPsec
d'IPsec
III.
III. Modes op
opratoires d
dIPsec
IV.
IV. Protocoles de s
scurit
curit AH et ESP
V. Fonctionnement SA, SAD, SPD
VI. Gestion, distribution des clefs IKE / ISAKMP
VII. Faiblesses d'IPsec
d'IPsec
Architectures VPN
Communication layers Security protocols
Application layer
Transport layer
Network layer
IPsec
PPTP, L2TP
Physical layer
Scrambling, Hopping,
Quantum Communications
MPLS
Ahmed Mehaoua - 3
Access
IPsec tunnel
MPLS
CPE
MPLS PE
MPLS PE CPE
mapping
IPsec
IP
mapping
MPLS VPN
IPsec
IP
IPsec tunnel
MPLS
CPE
IP
MPLS PE
IPsec
MPLS PE CPE
MPLS VPN
IPsec
IP
Access/
Peering PoPs
Corporate
Intranet
MPLS Core
Leased Line/
Frame Relay/ATM/
DSL Dedicated
IOS
Access
MPLS
PE
Local or
DirectDial ISP
MPLS
Internet
MPLS VPNs
Cable/DSL/
ISDN ISP
VLANs
Bi-directional
IPsec Session
Remote Users/
Telecommuters
Cisco VPN client software is tunnel
source for access VPNs and branchoffice; router originates site-to-site
tunnel with VPN concentrator
IPsec Session
IP
VLANs
MPLS VPNs
IP
Single User
IOS
Router
With
Unity
Client
PIX501
uBR900
Home Office
IOS
Router
With
Unity
Client
Ca
ble
DSL
Internet
HQ
800
Small Office
IOS
Router
With
Unity
Client
T1
=IPsec tunnel
Advantages:
Home Office
VPN3002
1700
IOS
Router
VPN IP- Offre en France Il existent 10 offrent de rseaux privs virtuel IP en France (01rseaux/Sept. 2002)
Scurisation des
communications IP
Pour scuriser les changes ayant lieu sur un rseau TCP/IP, il
existe plusieurs approches :
- niveau applicatif (PGP)
- niveau transport (protocoles TLS/SSL, SSH)
- niveau physique (botiers chiffrant).
IPsec vise scuriser les changes au niveau de la couche rseau.
rseau.
IPsec veut dire IP Security Protocols : ensemble de mcanismes de
scurit commun IPv4 et IPv6.
IPSec : le standard
Ahmed Mehaoua - 13
IPsec permet :
La mise en place de VPN
Scuriser les acc
accs distants (Utilisation nomade)
Protection d
dun serveur sensible
Composants dIPsec
Protocoles de scurit :
Authentication Header (AH)
Encapsulation Security Payload (ESP)
RFC 2401
RFC 2402
RFC 2406
Security
Architecture for
the Internet
Protocol
IP
Authentication
Header
S. Kent,
R.
Atkinson
Novembre
1998
STANDARD
IP
Encapsulating
Security
Payload (ESP)
Ahmed Mehaoua - 16
Ahmed Mehaoua - 17
mode tunnel
- insertion apr
aprs IP
- encapsulation des datagrammes IP dans d'autres datagrammes IP
- masquage d
dadresse
scurise lien par lien les segments de r
rseau.
utilis
quand
au
moins
une
des
deux
extr
utilis
extrmit
mits d
dIPsec se
comporte comme une passerelle
Ahmed Mehaoua - 20
10
Ahmed Mehaoua - 22
11
III.
III. Protocole de s
scurit
curit AH
AH = Authentication Header : 1er protocole et aussi le plus simple
dfinit dans le RFC 2402
Garantit :
- l'authentification.
- lunicit
unicit (anti(anti-rejeu)
rejeu)
- l'int
l'intgrit
grit
! Pas de confidentialit
confidentialit !
=> les donn
donnes sont seulement sign
signes mais pas chiffr
chiffres
support des algorithmes MD5 (128 bits) et SHASHA-1
IP Header AH Header
12
III.
III. Protocole de s
scurit
curit AH
IV.
IV. Protocole de s
scurit
curit ESP
ESP = Encapsulating Security Payload
dfinit dans le RFC 2406
Seules les donn
donnes sont prot
protges (pas de protection enen-tte)
Garantit:
- l'authentification.
- lunicit
unicit (anti(anti-rejeu)
rejeu)
- l'int
l'intgrit
grit
- la confidentialit
confidentialit
13
Encrypted
IV.
IV. Protocole de s
scurit
curit ESP
14
15
SA : exemple
Destination : 192.78.42.76
Protocole : ESP
index : 10314
Mode : tunnel
algorithme de chiffr : AES
cl de chiffrement : 0xEB3167C....
algorithme d'authent : SHA1
cl d'authentification : 0xC372F4....
politique associe : #23
date d'expiration : 061120 15:30:00
Ahmed Mehaoua - 31
16
17
VI.
VI. Gestion, distribution des clefs IKE / ISAKMP
Problmatique : afin dchanger des donnes de faon scurise, il est
ncessaire de se mettre daccord sur les paramtres utiliser, et
notamment dchanger les clefs de session
Il faut 2 paires de cls (AH et ESP) : soit 2 par direction.
1er solution : configuration manuelle des quipements
(unique mthode propose dans la premire version dIPSec)
18
VI.
VI. Gestion, distribution des clefs IKE / ISAKMP
n IKE : Internet Key Exchange : Qu
Quest ce que cest ?
VI.
VI. Gestion, distribution des clefs IKE / ISAKMP
n IKE : Internet Key Exchange
19
VII.
VII. Faiblesses d'IPsec
d'IPsec
Limitations dues la gestion manuelle des clefs
- AH et ESP s'appuient sur des num
numros de s
squence initialis
initialiss 0
lors de la cr
cration d'une SA et incr
incrment
ments lors de l'envoi de chaque
datagramme.
- Num
Numros de s
squence sont stock
stocks dans un entier de 32 bits 4
milliards
- Pass
Pass cette limite, n
ncessit
cessit de cr
crer une nouvelle SA et donc une
nouvelle clef.
- Possibilit
Possibilit de d
dsactivation des num
numros apr
aprs la limite.
Broadcast et multicast
Probl
Problme de performance et impossibilit
impossibilit de r
rsolution par
laugmentation de la puissance.
VII.
VII. Faiblesses d'IPsec
d'IPsec (2)
Firewalls
Le filtrage de datagrammes IPsec est d
dlicat pour deux raisons :
- les RFCs ne pr
cisent
pas
si,
sur
un syst
pr
systme remplissant
simultan
ment
les
fonctions
de
passerelle
de s
simultan
scurit
curit et de firewall,
firewall,
le d
codage
de
l'IPsec
IPsec
doit
avoir
lieu
avant
ou
apr
s
l'application
des
d
l'
apr
rgles de firewalling ;
-il n'est pas possible au code de firewalling de lire certaines donn
donnes,
par exemple des num
ros
de
port,
dans
des
donn
es
chiffr
num
donn
chiffr es, ou
transmises dans un format qu'il ne conna
t
pas.
conna
NATs
Th
Thoriquement, aucune translation d'adresse ne devrait affecter un
datagramme IPsec,
IPsec, car ce type d'op
d'opration modifie le contenu des
datagrammes, ce qui est incompatible avec les m
mcanismes de
protection de l'int
grit
des
donn
es
d'IPsec
IPsec.
.
l'int grit
donn
d'
20
VII.
VII. Faiblesses d'IPsec
d'IPsec (suite 3)
Non support de protocoles r
rseaux autres qu'IP
IPsec est un protocole qui ne pr
prvoit que le convoyage s
scuris
curis de
datagrammes IP
Ceci n'est pas suffisant, car d'autres standards comme IPX et
NetBIOS sont utilis
utiliss sur un grand nombre de r
rseaux. Il existe
cependant une solution ce probl
problme : encapsuler les donn
donnes
prot
protger dans du PPP, luilui-mme transport
transport par IPsec.
IPsec. Le rle de PPP
est en effet de permettre la transmission de diff
diffrents protocoles auaudessus d'un lien existant.
Conclusion: IPSec-IKE-SA
IPsec ensemble de protocoles et mcanismes pour le
chiffrement de paquets IP
SA->traitement mettre en oeuvre sur un paquet IP
quand il faut appliquer IPSec
IKE->gestionnaire de SA
IPSec->utilisateur de SA
Ahmed Mehaoua - 42
21