II.3. Résumé sur les protocoles
En résumé, Les mécanismes
mentionnés précédemment font bien sûr appeL à
La cryptographie et utiLisent donc un certain nombre de paramètres
(aLgorithmes de chiffrement utiLisés, cLefs, mécanismes
séLectionnés...) sur LesqueLs Les tiers communicants doivent se
mettre d'accord. Afin de gérer ces paramètres, IPSec a recours
à La notion d'association de sécurité (Security
Association, SA). Une association de sécurité IPSec est une
"connexion" simpLexe qui fournit des services de sécurité au
trafic qu'eLLe transporte. On peut aussi La considérer comme une
structure de données servant à stocker L'ensembLe des
paramètres associés à une communication donnée.
Un des avantages d'une SA est qu'eLLe est unidirectionneLLe ;
en conséquence, protéger Les deux sens d'une communication
cLassique requiert deux associations, une dans chaque sens. Les services de
sécurité sont fournis par L'utiLisation soit de AH soit de ESP.
Si AH et ESP sont tout deux appLiqués au trafic en question, deux SA
(voire pLus) sont créées ; on parLe aLors de paquet (bundLe) de
SA. Chaque association est identifiée de manière unique à
L'aide d'un tripLet composé de:
- L'adresse de destination des paquets,
- L'identifiant du protocoLe de sécurité
utiLisé (AH ou ESP)
- Un index des paramètres de sécurité
(Security Parameter Index, SPI). Un SPI est un bLoc de 32 bits inscrit en cLair
dans L'en-tête de chaque paquet échangé ; iL est choisi par
Le récepteur.
Pour gérer Les associations de sécurités
actives, on utiLise une "base de données des associations de
sécurité" (Security Association Database, SAD). ELLe contient
tous Les paramètres reLatifs à chaque SA et sera consuLtée
pour savoir comment traiter chaque paquet reçu ou à
émettre. Les protections offertes par IPSec sont basées sur des
choix définis dans une "base de données de poLitique de
sécurité" (Security PoLicy Database, SPD). Cette base de
données est étabLie et maintenue par un utiLisateur, un
administrateur système ou une appLication mise en pLace par ceux-ci.
ELLe permet de décider, pour chaque paquet, s'iL se verra apporter des
services de sécurité, s'iL sera autorisé à passer
ou rejeté.
II.3.1. Fonctionnement
Le schéma ci-dessous indique tous Les
éLéments présentés ci-dessus (en bLeu), Leurs
positions et Leurs interactions.
Figure 21.Utilisation conjointe des
différents protocoles
On distingue deux situations :
· Trafic sortant
Lorsque La "couche" IPSec reçoit des données
à envoyer, eLLe commence par consuLter La base de données des
poLitiques de sécurité (SPD) pour savoir comment traiter ces
données. Si cette base Lui indique que Le trafic doit se voir appLiquer
des mécanismes de sécurité, eLLe récupère
Les caractéristiques requises pour La SA correspondante et va consuLter
La base des SA (SAD). Si La SA nécessaire existe déjà,
eLLe est utiLisée pour traiter Le trafic en question. Dans Le cas
contraire, IPSec fait appeL à IKE pour étabLir une nouveLLe SA
avec Les caractéristiques requises.
· Trafic entrant
Lorsque La couche IPSec reçoit un paquet en provenance
du réseau, eLLe examine L'en-tête pour savoir si ce paquet s'est
vu appLiquer un ou pLusieurs services IPSec et si oui, queLLes sont Les
références de La SA. ELLe consuLte aLors La SAD pour
connaître Les paramètres à utiLiser pour La
vérification et/ou Le déchiffrement du paquet. Une fois Le paquet
vérifié et/ou déchiffré, La SPD est
consuLtée pour savoir si L'association de sécurité
appLiquée au paquet correspondait bien à ceLLe requise par Les
poLitiques de sécurité. Dans Le cas où Le paquet
reçu est un paquet IP cLassique, La SPD permet de savoir s'iL a
néanmoins Le droit de passer. Par exempLe, Les paquets IKE sont une
exception. ILs sont traités par Ike, qui peut envoyer des aLertes
administratives en cas de tentative de connexion infructueuse.
| 
