2.2.3.2 IPsec (IP sécurisé)
Le monde TCP/IP permet d'interconnecter plusieurs millions
d'utilisateurs, lesquels peuvent souhaiter que leur communication reste
secrète. IP transporte de plus un grand nombre de transactions pour
lesquelles une certaine confidentialité est nécessaire, par
exemple pour prendre en charge la transmission de numéros de carte
bancaire.
L'idée développée dans les groupes de
travail sur la sécurité dans le monde IP consiste à
définir un environnement contenant un ensemble de mécanismes de
sécurité. Les
Mémoire présenté et soutenu par Bertrand
MOHOTE TADZONG Page 34
Sécurisation d'un réseau intranet : cas de
CAMTEL
mécanismes de sécurité appropriés
sont choisis par une association de sécurité. En effet,
toutes les communications n'ont pas les mêmes caractéristiques, et
leur sécurité ne demande pas les mêmes algorithmes.
Chaque communication se définit par sa propre
association de sécurité. Les principaux éléments
d'une association de sécurité sont les suivants :
? algorithme d'authentification ou de chiffrement
utilisé ;
? clés globales ou spécifiques à prendre
en compte ;
? autres paramètres de l'algorithme, comme les
données de synchronisation ou les valeurs d'initialisation ;
? durée de validité des clés ou des
associations ;
? sensibilité de la protection apportée
(secret, top secret, etc.).
La solution IPsec introduit des mécanismes de
sécurité au niveau du protocole IP, de telle sorte qu'il y ait
indépendance vis-à-vis du protocole de transport. Le rôle
de ce protocole de sécurité est de garantir
l'intégrité, l'authentification, la confidentialité et la
protection contre les techniques rejouant des séquences
précédentes. L'utilisation des propriétés d'IPsec
est optionnelle dans IPv4 et obligatoire dans IPv6.
Une base de données de sécurité,
appelée SAD (Security Association Database), regroupe les
caractéristiques des associations par l'intermédiaire de
paramètres de la communication. L'utilisation de ces paramètres
est définie dans une autre base de données, la SPD (Security
Policy Database). Une entrée de la base SPD regroupe les adresses
IP de la source et de la destination, ainsi que l'identité de
l'utilisateur, le niveau de sécurité requis, l'identification des
protocoles de sécurité mis en oeuvre, etc.
Le format des paquets IPsec est illustré à la
figure 2.8. La partie la plus haute de la figure correspond au format d'un
paquet IP dans lequel est encapsulé un paquet TCP. La partie du milieu
illustre le paquet IPsec. On voit que l'en-tête IPsec vient se mettre
entre l'en-tête IP et l'en-tête TCP. La partie basse de la figure
montre le format d'un paquetdans un tunnel IPsec. La partie intérieure
correspond à un paquet IP encapsulé dans un paquet IPsec de telle
sorte que le paquet IP intérieur soit bien protégé.
[2]
Mémoire présenté et soutenu par Bertrand
MOHOTE TADZONG Page 35
Sécurisation d'un réseau intranet : cas de
CAMTEL
Figure 2.5 : Format des paquets IPsec
[2]
Dans un tunnel IPsec, tous les paquets IP d'un flot sont
transportés de façon totalement chiffrée. Il est de la
sorte impossible de voir les adresses IP ni même les valeurs du champ de
supervision du paquet IP encapsulé. La figure 2.9 illustre un tunnel
IPsec.
Figure 2.6 : tunnel IPsec
a) L'en-tête d'authentification
L'en-tête d'authentification est ajouté
immédiatement derrière l'en-tête IP standard.
À l'intérieur de l'en-tête IP, le champ
indiquant le prochain protocole inclus dans le paquet IP (champ
Next-Header) prend la valeur 51. Cette valeur précise que les
champs IPsec et
Mémoire présenté et soutenu par Bertrand
MOHOTE TADZONG Page 36
Sécurisation d'un réseau intranet : cas de
CAMTEL
d'authentification sont mis en oeuvre dans le paquet IP.
L'en-tête IPsec possède lui-même un champ indiquant le
protocole encapsulé dans le paquet IPsec. En d'autres termes, lorsqu'un
paquet IP doit être sécurisé par IPsec, il repousse la
valeur de l'en-tête suivant, qui était dans le paquet IP, dans le
champ entête suivant de la zone d'authentification d'IPsec et met la
valeur 51 dans l'en-tête de départ.
La figure 2.10 présente le détail
l'en-tête d'authentification. Comme indiqué
précédemment, cet en-tête commence par la valeur indiquant
le protocole transporté. Le champ LG (Length), sur un octet,
indique la taille de l'en-tête d'authentification.
Vient ensuite une zone réservée, sur 2 octets,
qui prend place avant le champ sur 4 octets, donnant un index des
paramètres de sécurité, qui décrit le schéma
de sécurité adopté pour la communication. [2]
Figure 2.7 : format de l'en-tête
d'authentification[2]
Le champ numéro de séquence, qui contient un
numéro de séquence unique, est nécessaire pour
éviter les attaques de type rejeu, dans lesquelles le pirate rejoue
exactement la même séquence de messages que l'utilisateur par une
copie pure et simple.
Mémoire présenté et soutenu par Bertrand
MOHOTE TADZONG Page 37
Sécurisation d'un réseau intranet : cas de
CAMTEL
Par exemple, si vous consultez votre compte en banque et qu'un
pirate recopie vos messages, même chiffrés, c'est-à-dire
sans les comprendre, il peut, à la fin de votre session, rejouer la
même succession de messages, qui lui ouvrira les portes de votre compte.
L'en-tête d'authentification se termine par les données
associées à ce schéma de sécurité. Il
transporte le type d'algorithme de sécurité, les clés
utilisées, la durée de vie de l'algorithme et des clés,
une liste des adresses IP des émetteurs qui peuvent utiliser le
schéma de sécurité, etc.
b) L'en-tête d'encapsulation de
sécurité
Pour permettre une confidentialité des données,
tout en garantissant une authentification, IPsec utilise une encapsulation dite
ESP (Encapsulating Security Payload), c'est-à-dire une
encapsulation de la charge utile de façon sécurisée. La
valeur 50 est transportée dans le champ en-tête suivant
(Next-Header) du paquet IP pour indiquer cette encapsulation ESP. La
figure 2.11 illustre ce processus d'encapsulation. On s'aperçoit que
l'encapsulation ESP ajoute trois champs supplémentaires au paquet IPsec
: l'en-tête ESP, qui suit l'entête IP de départ et porte la
valeur 50, le Trailer, ou en-queue, ESP, qui est chiffré avec la charge
utile, et le champ d'authentification ESP de taille variable, qui suit la
partie chiffrée sans être lui-même chiffré.
Figure 2.8 : processus d'encapsulation ESP
[2]
Le paquet ESP est repris à la figure 2.12 de façon
un peu plus détaillée en ce qui concerne les champs internes,
à partir du champ ESP d'en-tête.
Mémoire présenté et soutenu par Bertrand
MOHOTE TADZONG Page 38
Sécurisation d'un réseau intranet : cas de
CAMTEL
Figure 2.9 : format de l'entête ESP
[2]
La première partie de l'encapsulation reprend les
paramètres SPI (Security Parameter Index) et numéro de
séquence que nous avons déjà décrits dans
l'en-tête d'authentification. Vient ensuite la partie transportée
et chiffrée. L'en-queue ESP comporte une zone de bourrage optionnelle,
allant de 0 à 255 octets, puis un champ longueur du bourrage
(Length) et la valeur d'un en-tête suivant.
La zone de bourrage a plusieurs raisons d'être. La
première provient de l'adoption d'algorithmes de chiffrement, qui
exigent la présence d'un nombre de 0 déterminé
après la zone chiffrée. La deuxième raison vient de la
place de l'en-tête suivant, qui doit être aligné à
droite, c'est-à-dire prendre une place en fin d'un mot de 4 octets. La
dernière raison est que, pour contrer une attaque, il peut être
intéressant d'ajouter de l'information sans signification susceptible de
leurrer un pirate.
c) Les compléments d'IPsec
Dans IPsec, le chiffrement ne s'effectue pas sur l'ensemble
des champs, car certains champs, que l'on appelle mutable, changent de
valeur à la traversée des routeurs, comme le champ TTL
(durée de vie). Dans le calcul du champ d'authentification, le
processus ne tient pas compte de ces champs mutables.
Les algorithmes de sécurité qui peuvent
être utilisés dans le cadre d'IPsec sont déterminés
par un certain nombre de RFC :
? Pour l'en-tête d'authentification :
- HMAC avec MD5 : RFC 2403 ;
- HMAC avec SHA-1 : RFC 2403.
Mémoire présenté et soutenu par Bertrand
MOHOTE TADZONG Page 39
Sécurisation d'un réseau intranet : cas de
CAMTEL
? Pour l'en-tête ESP :
- DES en mode CBC : RFC 2405 ; - HMAC avec MD5 : RFC 2403 ; -
HMAC avec SHA-1 : RFC 2404.
d) La sécurité dans IPv6
Le protocole IPv6 contient les mêmes
fonctionnalités qu'IPsec. On peut donc dire qu'il n'existe pas
d'équivalent d'IPsec dans le contexte de la nouvelle
génération IP.
Les champs de sécurité sont optionnels. Leur
existence est détectée par les valeurs 50 et 51 du champ
en-tête suivant (Next-Header). Globalement, la
sécurité offerte par IPv6 est donc exactement la même que
celle offerte par IPsec. Elle est toutefois plus simple à mettre en
oeuvre puisque le protocole de sécurité est dans le protocole
IPv6 lui-même. On peut en déduire que la sécurisation des
communications sera beaucoup plus simple avec la nouvelle
génération de réseau qui utilisera IPv6.
Cela pose toutefois d'autres problèmes. Si tous les
flux sont chiffrés, par exemple, il n'y a plus moyen de
reconnaître les numéros de port ou les adresses source et
destination, et les applications deviennent transparentes. Toutes les
appliances intermédiaires, comme les pare-feu ou les contrôleurs
de qualité de service, deviennent inutilisables.
L'information sur le type d'application véhiculé
ne se trouve qu'à la source ou à la destination, et c'est
là qu'il faut venir la rechercher. De nouvelles architectures de
contrôle sont donc à prévoir avec l'arrivée d'IPv6,
ce qui constitue une raison de repousser cette arrivée dans beaucoup
d'entreprises. [2]
| 
