WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Implémentation et interconnexion des réseaux privés virtuels. Cas des hôpitaux généraux de référence et clinique médicale privé.

( Télécharger le fichier original )
par Benjamin MIGANDA
BIOSADEC - Licence 2015
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

2.2.2.6. Le protocole IPSec

Pour sécuriser les échanges ayant lieu sur un réseau TCP/IP, il existe plusieurs approches :

? Niveau applicatif (PGP) ;

? Niveau transport (protocoles TLS/SSL, SSH) ; ? Niveau physique (boîtiers chiffrant).

IPsec vise à sécuriser les échanges au niveau de la couche réseau. Le réseau IPv4 étant largement déployé et la migration complète vers IPv6 nécessitant encore beaucoup de temps, il est vite apparu intéressant de définir des mécanismes de sécurité qui soient communs à la fois à IPv4 et IPv6. Ces mécanismes sont couramment désignés par le terme IPSec pour IP Security Protocols.15

15 http://www.biblio.ch/biblio/cmu/informatique

20

Le protocole IPSec fournit ainsi :

· des mécanismes de confidentialité et de protection contre l'analyse du trafic ;

· des mécanismes d'authentification des données (et de leur origine) ;

· des mécanismes garantissant l'intégrité des données (en mode non connecté) ;

· des mécanismes de protection contre le rejet ;

· des mécanismes de contrôle d'accès.

1. Le mode de fonctionnement du protocole IPSec

Le fonctionnement des implémentations IPSec peut être résumé par le schéma suivant :

Figure N° 7: Mode de fonctionnement du protocole IPSec

Les implémentations IPSec s'appuient ainsi sur les composants suivants :

· SA : l'association de sécurité IPsec est une connexion qui fournit des services de sécurité au trafic qu'elle transporte.

Il s'agit d'une structure de données servant à stocker l'ensemble des paramètres associés à une communication donnée. Une SA est unidirectionnelle, en conséquence, protéger les deux sens d'une communication classique requiert deux associations, une dans chaque sens. Le rôle d'une SA est de consigner, pour chaque adresse IP avec laquelle l'implémentation IPsec peut communiquer certaines informations suivantes.

· SPD : les protections offertes par IPSec sont basées sur des choix définis dans une base de données de politique de sécurité. Cette base de données est établie et maintenue par un administrateur. Elle permet de décider, pour chaque paquet, s'il se verra apporter des services de sécurité, s'il sera autorisé à passer outre ou sera rejeté ;

21

? SAD : de manière à pouvoir gérer les associations de sécurité actives, on utilise une base de données des associations de sécurité. Elle contient tous les paramètres relatifs à chacune de SA et sera consultée pour savoir comment traiter chaque paquet reçu ou à émettre.

Les services IPSec sont basés sur des mécanismes cryptographiques. Pour cela, IPsec fait appel à deux protocoles de sécurité qui viennent s'ajouter au protocole IP classique : il s'agit des protocoles AH et ESP. IPsec offre ainsi deux possibilités d'encapsulation distinctes.

Toutefois, l'évolution de ce protocole fait qu'ESP assure désormais l'ensemble des fonctionnalités des deux mécanismes. Au-delà de AH et ESP, l'IETF a jugé judicieux d'offrir un service supplémentaire appelé chiffrement en mode Fast Forward qui conserve la même taille de datagrammes et ainsi des performances optimales.

Cependant, il protège en confidentialité uniquement. L'en-tête IP et la longueur du datagramme restent inchangés (sauf éventuellement le champ d'options IP qui peut être chiffré). Les SA contiennent tous les paramètres nécessaires à IPsec, notamment les clés utilisées.

La gestion des clés pour IPsec n'est liée aux autres mécanismes de sécurité de IPsec que par le biais des SA. Une SA peut être configurée manuellement dans le cas d'une situation simple, mais la règle générale consiste à utiliser un protocole spécifique qui permet la négociation dynamique de SA et notamment l'échange des clés de session.

2. Les deux modes de fonctionnement IPSec

? Le mode transport

Le mode transport prend un flux de niveau transport (couche de niveau 4 du modèle OSI) et réalise les mécanismes de signature et de chiffrement puis transmet les données à la couche IP. Dans ce mode, l'insertion de la couche IPsec est transparente entre TCP et IP. TCP envoie ses données vers IPsec comme il les enverrait vers IPv4.

L'inconvénient de ce mode réside dans le fait que l'en-tête extérieure est produite par la couche IP c'est-à-dire sans masquage d'adresse. De plus, le fait de terminer les traitements par la couche IP ne permet pas de garantir la non-utilisation des options IP potentiellement dangereuses. L'intérêt de ce mode réside dans une relative facilité de mise en oeuvre.

22

? Le mode tunnel

Dans le mode tunnel, les données envoyées par l'application traversent la pile de protocole jusqu'à la couche IP incluse, puis sont envoyées vers le module IPsec. L'encapsulation IPsec en mode tunnel permet le masquage d'adresses. Le mode tunnel est généralement utilisé entre deux passerelles de sécurité (routeur, firewall, ...) alors que le mode transport se situe entre deux hôtes.

3. Les protocoles d'authentification IPSec ? Le protocole AH

Le protocole AH est conçu pour assurer l'intégrité en mode non connecté et l'authentification de l'origine des datagrammes IP sans chiffrement des données (pas de confidentialité). Son principe est d'adjoindre au datagramme IP classique un champ supplémentaire permettant à la réception de vérifier l'authenticité des données incluses dans le datagramme.

Ce bloc de données est appelé « valeur de vérification d'intégrité » (ICV). La protection contre le rejet se fait grâce à un numéro de séquence.

Le protocole AH peut être représenté par le schéma suivant :

Il est à noter que l'utilisation du protocole AH interdit l'utilisation des mécanismes de translation d'adresses.

Figure N° 8: Principe de fonctionnement du protocole AH

23

En effet, le contenu de la trame n'étant pas chiffré, le protocole AH ajoute une signature numérique au paquet IP sortant : un mécanisme de translation d'adresses réécrivant l'adresse source fausse systématiquement le calcul de vérification de la signature numérique effectuée à l'autre bout du tunnel VPN.

? Le protocole ESP

Le protocole ESP peut assurer, au choix, un ou plusieurs des services suivants :

? Confidentialité des données et protection partielle contre l'analyse du trafic si l'on utilise le mode tunnel ;

? Intégrité des données en mode non connecté et authentification de l'origine des données, protection partielle contre le rejet.

Contrairement au protocole AIT, où l'on se contentait d'ajouter une en-tête supplémentaire au paquet IP, le protocole ESP fonctionne suivant le principe d'encapsulation : les données originales sont chiffrées puis encapsulées.

Le protocole ESP peut être représenté par le schéma suivant :

Figure N° 9: Principe de fonctionnement du protocole ESP

Le mode tunnel est utilisé entre deux passerelles de sécurité (routeur, firewall).

24

La comparaison du protocole MPLS et IPSEC

Tableau N° 1 : Comparaison entre MPLS & IPSec

MPLS

IPSec

Qualité de service

Permet d'attribuer des priorités au trafic par le biais de classes de service.

Le transfert se faisant sur l'Internet public, permet seulement un service "best effort"

Coût

Inférieur à celui des réseaux Frame Relay et ATM mais supérieur à celui des autres VPN IP.

Faible grâce au transfert via le domaine Internet public.

Sécurité

Comparable à la sécurité offerte par les réseaux ATM et Frame Relay existants.

Sécurité totale grâce à la combinaison de certificats numériques et de PKI pour l'authentification ainsi qu'à une série d'options de cryptage.

Applications compatibles

Toutes les applications, y compris les logiciels d'entreprise vitaux exigeant une qualité de service élevée et une faible latence et les applications en temps réel (vidéo et voix sur IP)

Accès à distance et nomade sécurisé. Applications sous IP, notamment courrier électronique et Internet. Inadapté au trafic en temps réel ou à priorité élevée.

Etendue

Dépend du réseau MPLS du fournisseur de services.

Très vaste puisque repose sur l'accès à Internet

Evolutivité

Evolutivité élevée puisque n'exige pas une interconnexion d'égal à égal entre les sites et que les déploiements standards peuvent prendre en charge plusieurs dizaines de milliers de connexions par VPN.

Les déploiements les plus vastes exigent une planification soigneuse pour répondre notamment aux problèmes d'interconnexion site à site et de Peering.

25

Frais de gestion du réseau

Aucun traitement exigé par le routage.

Traitements supplémentaires pour le cryptage et le décryptage.

Vitesse de déploiement

Le fournisseur de services doit déployer un routeur MPLS en bordure de réseau pour permettre l &148; accès client.

Possibilité d'utiliser l'infrastructure du réseau IP existant

Prise en charge par le client

Non requise. Le MPLS est une technologie réseau.

Logiciels ou matériels client requis.

26

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy







© Memoire Online 2000-2023
Pour toute question contactez le webmaster

"Enrichissons-nous de nos différences mutuelles "   Paul Valery