III.2. PRESENTATION DU PROTOCOLE IPSEC CISCO
III.2.1. Généralité
IPSec est un ensemble de protocoles conçu par l'IETF
afin de sécuriser le trafic IP. Initialement conçu dans la
philosophie d'IPv6, IPSec est un système d'encapsulation offrant les
services de sécurité requis au niveau IP. Néanmoins,
étant donné que les besoins en matière de
sécurité sur Internet et sur les Intranets ne peuvent attendre
que la totalité (ou d'au moins une grande majorité) du parc
informatique mondial ait migré vers IPv6, il est nécessaire que
IPSec soit également utilisable avec IPv4. Une manière commode de
procéder, qui a l'avantage de garantir la compatibilité avec
toutes les implémentations existantes du protocole IP sans avoir
à les modifier, est de considérer le protocole IPSec comme un
protocole indépendant, implémentable comme un module additionnel
sous forme d'un logiciel ou d'un équipement électronique
dédié.
La solution IPsec introduit des mécanismes de
sécurité au niveau du protocole IP, de telle sorte qu'il y ait
indépendance vis-à-vis du protocole de transport. Le rôle
de ce protocole de sécurité est de garantir
l'intégrité, l'authentification, la confidentialité et la
protection.
III.2.2. Les services offerts par IPSEC [2]
Une communication entre deux hôtes, protégée
par IPSec, est susceptible de fonctionner suivant deux modes différents
: le mode transport et le mode tunnel.
Le premier mode offre essentiellement une protection aux
protocoles de niveau supérieur, le second permet quant à lui,
d'encapsuler des datagrammes IP dans d'autres datagrammes IP dont le contenu
est protégé. L'intérêt majeur de ce second mode est
qu'il traite toute la partie IPSec d'une communication et transmet les
datagrammes épurés de leur partie IPSec à leur
destinataire réel réalisable. Il est également possible
d'encapsuler une communication IPSec en mode tunnel, elle-même
traitée par une passerelle de sécurité, qui transmet les
datagrammes après suppression de leur première enveloppe à
un hôte traitant à son tour les protections restantes ou à
une seconde passerelle de sécurité.
III.2.2.1. AH (Authentication Header)
AH est le premier et le plus simple des protocoles de
protection des données qui font partie de la spécification IPSec.
Il est détaillé dans le RFC 2402 [RFC 2402]. Il a pour vocation
de garantir :
v' L'authentification : les datagrammes IP reçus ont
effectivement été émis par l'hôte
dont l'adresse IP est indiquée comme adresse source dans
les en-têtes.
v' L'unicité (optionnelle, à la discrétion
du récepteur) : un datagramme, ayant été émis
légitimement et enregistré par un attaquant, ne
peut être réutilisé par ce dernier, les attaques par rejeu
sont ainsi évitées.
v' L'intégrité : les champs suivants du datagramme
IP n'ont pas été modifiés depuis
leur émission : Données (en mode tunnel, ceci
comprend la totalité des champs, y compris en-têtes du datagramme
IP encapsulé dans le datagramme protégé par AH), version
(4 en IPv4, 6 en IPv6), longueur de l'en-tête totale du datagramme (en
IPv4), longueur des données (en IPv6), identification, protocole ou
en-tête suivant (ce champ vaut 51 pour indiquer qu'il s'agit du protocole
AH), adresse IP de l'émetteur, adresse IP du destinataire (sans Source
Routing).
Le protocole AH n'assure pas la confidentialité des
données : les données sont signées mais pas
chiffrées.
| 
