V.3.2. Exemples de déploiements : Réseaux
privés virtuels, Extranet, Serveurs Protégés, etc.
Ce paragraphe présente trois exemples typiques
d'utilisation d'IPSec dans un réseau d'entreprise. Il va de soi que,
dans la pratique, ces trois cas peuvent être combinés et
déclinés en de nombreuses variantes.
Exemple 1 : Réseaux privés
virtuels
Une première utilisation possible d'IPSec est la
création de réseaux privés virtuels entre
différents réseaux privés séparés par un
réseau non fiable comme l'Internet. Les matériels
impliqués sont les passerelles de sécurités en
entrée/sortie des différents réseaux (Routeurs,
gardes-barrières, boîtiers dédiés). Cette
configuration nécessite donc l'installation et la configuration d'IPSec
sur chacun de ces équipements afin de protéger les
échanges de données entre les différents sites.
La figure V.2 illustre les réseaux privés virtuels.
Fig. V.2. Réseaux privés virtuels
Cet usage d'IPSec présente un certain nombre de limites
:
1' Si beaucoup de communications doivent être
chiffrées, des problèmes de performances peuvent apparaître
;
1' La configuration des équipements IPSec se faisant
souvent manuellement et statiquement, l'utilisation d'une telle configuration
avec un nombre élevé de sites et de tunnels est pour le moment
difficile ;
1' La protection intervient seulement sur la traversée du
réseau public, il n'y a pas de protection de bout en bout des
communications.
Exemple 2 : Extranet
Dans l'exemple précédent, on désirait
permettre des communications sûres entre différents sites fixes.
Un autre cas est celui où les communications à sécuriser
ne sont pas fixes mais au contraire intermittentes et d'origines variables.
C'est le cas, par exemple, lorsqu'on désire permettre à
des employés ou à des partenaires situés a
l'extérieur de l'entreprise d'accéder au réseau interne
sans diminuer le niveau de sécurité (Donc en mettant en
oeuvre une confidentialité et un contrôle d'accès forts).
Les matériels impliqués sont les portes d'entrées du
réseau (Serveur d'accès distants, liaison Internet, etc.) et les
machines utilisées par les employés (Ordinateur portable,
ordinateur personnel au domicile, etc.). La figure V.3 illustre l'extranet.
Fig. V.3. Extranet
Cette configuration nécessite l'installation d'IPSec
sur les postes de tous les utilisateurs concernés et la gestion d'une
éventuelle base de données adaptée pour stocker les
profils individuels. En contrepartie, elle représente un gros apport
pratique pour les employés qui se déplacent beaucoup, sans
diminution de la sécurité du réseau.
Exemple 3 : Protection d'un serveur
sensible
Dans les deux exemples précédents, l'approche
choisie était orientée vers la protection du réseau de
l'entreprise dans son ensemble. On peut également vouloir utiliser IPSec
pour protéger l'accès a une machine donnée. Par exemple,
si un serveur contient des données sensibles que seul un nombre
réduit de personnes (Internes ou externes a l'entreprise) doit pouvoir
consulter, IPSec permet de mettre en oeuvre un contrôle
d'accès fort et un chiffrement des données
pendant leur transfert sur le réseau. Les matériels
impliqués dans ce type de configuration sont le serveur sensible et les
machines de toutes les personnes devant accéder aux données. La
figure V.4 illustre le serveur sensible.
Fig. V.4. Serveur sensible
IPSec rend la sécurisation possible quelles que soient les
applications utilisées pour accéder au serveur.
V.3.3. Protocole IPSec V.3.3.1.
Généralités
IPSec est un ensemble de protocoles conçu par l'IETF
afin de sécuriser le trafic IP. Initialement conçu dans la
philosophie d'IPv6, IPSec est un système d'encapsulation offrant les
services de sécurité requis au niveau IP. Néanmoins,
étant donné que les besoins en matière de
sécurité sur Internet et sur les Intranets ne peuvent attendre
que la totalité (ou d'au moins une grande majorité) du parc
informatique mondial ait migré vers IPv6, il est nécessaire que
IPSec soit également utilisable avec IPv4. Une manière commode de
procéder, qui a l'avantage de garantir la compatibilité avec
toutes les implémentations existantes du protocole IP sans avoir
à les modifier, est de considérer le protocole IPSec comme un
protocole indépendant, implémentable comme un module additionnel
sous forme d'un logiciel ou d'un équipement électronique
dédié.
V.3.3.2. Services offerts par IPSec
Une communication entre deux hôtes,
protégée par IPSec, est susceptible de fonctionner suivant deux
modes différents : le mode transport et le mode tunnel.
Le premier mode offre essentiellement une protection aux
protocoles de niveau supérieur, le second permet quant a lui,
d'encapsuler des datagrammes IP dans d'autres datagrammes IP dont le contenu
est protégé. L'intérêt majeur de ce second mode est
qu'il traite toute la partie IPSec d'une communication et transmet les
datagrammes épurés de leur partie IPSec à leur
destinataire réel réalisable. Il est également possible
d'encapsuler une communication IPSec en mode tunnel, ellemême
traitée par une passerelle de sécurité, qui transmet les
datagrammes après suppression de leur première enveloppe à
un hôte traitant à son tour les protections restantes ou à
une seconde passerelle de sécurité.
V.3.3.2.1. AH (Authentication
Header)
AH est le premier et le plus simple des protocoles de protection
des données qui font partie de la spécification IPSec. Il a pour
vocation de garantir :
1' L'authentification : les datagrammes IP reçus ont
effectivement été émis par l'hôte dont l'adresse IP
est indiquée comme adresse source dans les en-têtes ;
1' L'unicité (optionnelle, a la discrétion du
récepteur) : un datagramme ayant été émis
légitimement et enregistré par un attaquant ne peut être
réutilisé par ce dernier, les attaques par rejeu sont ainsi
évitées ;
1' L'intégrité : les champs suivants du
datagramme IP n'ont pas été modifiés depuis leur
émission : Données (en mode tunnel, ceci comprend la
totalité des champs, y compris en-têtes du datagramme IP
encapsulé dans le datagramme protégé par AH), version (4
en IPv4, 6 en IPv6), longueur de l'en-tête totale du datagramme (en
IPv4), longueur des données (en IPv6), identification, protocole ou
en-tête suivant (ce champ vaut 51 pour indiquer qu'il s'agit du protocole
AH), adresse IP de l'émetteur, adresse IP du destinataire (sans Source
Routing).
En outre, au cas où le Source Routing serait
présent, le champ adresse IP du destinataire a la valeur que
l'émetteur a prévu qu'il aurait lors de sa réception par
le destinataire. Cependant, la valeur que prendront les champs type de service
(IPv4), somme de contrôle d'en-tête (IPv4), classe (IPv6), flow
label (IPv6) et hop limit (IPv6) lors de leur réception n'étant
pas prédictible au moment de l'émission, leur
intégrité n'est pas garantie par AH. En plus, AH n'assure pas la
confidentialité des données : les données sont
signées mais pas chiffrées.
La figure V.5 illustre l'Architecture d'IPSec.
Fig. V.5. Architecture d'IPSec
|