IPSec (Internet Protocol Security) est un protocole de la
couche 3 du modèle OSI et multiplateformes. Les concepteurs, S. Kent et
R. Atkinson de chez IETF (Internet Engineering Task Force) ont proposé
une solution en novembre 1998 afin de répondre aux besoins directs du
développement des réseaux en matière de
sécurité. En effet, en sécurisant le transport des
données lors d'échanges internes et externes, la stratégie
IPSec permet à l'administrateur réseau d'assurer une
sécurité efficace pour son entreprise contre toute attaque venant
de l'extérieur.
IP Sec (Internet Protocol Security) est un
système de normes ouvertes qui vise à assurer la protection des
communications privées sur les réseaux publics.
IP Sec est soutenu par deux protocoles de
sécurité (AH et ESP) et un protocole de gestion (IKE) :
· AH (Authentication Header), est
employé pour assurer l'authentification des machines aux deux
extrémités du tunnel. Il permet aussi de vérifier
l'unicité des données grâce à l'attribution d'un
numero de séquence ainsi que l'intégrité de cellesci a
l'aide d'un code de vérification des données (Intégrity
Check Value).
· ESP (Encapsulating Security Payload),
répond, quant à lui, au besoin de crypter les données. Il
peut toutefois aussi gérer l'authentification et la vérification
de l'intégrité mais de manière moins poussée qu'AH
(Authentication Header).
IKE (Internet Key Exchange), IKE
négocie les algorithmes cryptographiques et les paramètres
relatifs destinés à AH et ESP. Il fait cela en deux phases :
· Phase 1 (Main mode ou aggresive Mode), Lors de cette
phase un tunnel est établi. Celui-ci va servir à
générer une clé mère (dont la valeur va
dépendre de différents paramètres comme le "pre-shared
secret" ou le groupe Diffie-Hellman choisi). Cette clé va servir
à en engendrer trois autres servant à l'authentification, le
chiffrement et la production de nouvelles clés.
· Phase 2 (Quick Mode), établissement du canal
(et des Security Association) destinés au transfert des données
en fonction des paramètres négociés lors de la phase1
(pour un mode full duplex il faut établir deux tunnels et donc deux
SA).
Le protocole IP Sec est destiné à fournir
différents services de sécurité. Il permet grâce
à plusieurs choix et options de définir différents niveaux
de sécurité afin de répondre de façon
adaptée aux besoins de chaque entreprise. La stratégie IP Sec
permettant d'assurer la confidentialité, l'intégrité et
l'authentification des données entre deux hôtes est
gérée par un ensemble de normes et de protocoles :
v' Authentification des extrémités :
Elle permet à chacun de s'assurer de l'identité de
chacun des interlocuteurs. Précisons que l'authentification se fait
entre les machines et non entre les utilisateurs, dans la mesure où
IPSec est un protocole de couche 3.
v' Confidentialité des données
échangées : Le contenu de chaque paquet IP peut
être chiffré afin qu'aucune personne non autorisée ne
puisse le lire
v' Authenticité des données :
IPSec permet de s'assurer que chaque paquet a bien été
envoyé par l'hôte et qu'il a bien été reçu
par le destinataire souhaité.
v' Intégrité des données
échangées : IPSec permet de vérifier qu'aucune
donnée n'a été altérée lors du trajet.
v' Protection contre les écoutes et analyses
de trafic : Le mode tunneling (détaillé plus loin)
permet de chiffrer les adresses IP réelles et les entêtes des
paquets IP de l'émetteur et du destinataire. Ce mode permet ainsi de
contrecarrer toutes les attaques de ceux qui voudraient intercepter des trames
afin d'en récupérer leur contenu
v' Protection contre le rejeu : IPSec
intègre la possibilité d'empêcher un pirate d'intercepter
un paquet afin de le renvoyer à nouveau dans le but d'acquérir
les mêmes droits que l'envoyeur d'origine.
