Mise en place d'une architecture VPN MPLS avec gestion du temps de connexion et de la bande passante utilisateur

IV-5.3 Application de l'IPSec au modèle OSI

    Le mode tunneling d'IPSec est un protocole de couche 3 fournissant ses services pour sécuriser l'IP qui est de même couche. Il a pour avantage d'offrir la protection des protocoles de couches supérieurs TCP/IP^13(*) comme HTTP^14(*) ou FTP. Il s'étend également aux protocoles de couches 2 comme L2TP et PPTP.

IV-5.4 Modes de transit des données : transport et tunnel

Ces deux modes permettent de sécuriser les échanges réseau lors d'une communication. Néanmoins, le niveau de sécurité le plus élevé est le mode tunnel.

Ø Le mode transport offre essentiellement une protection aux protocoles de niveaux supérieurs. En effet, ce mode ne modifie pas l'en-tête initial dans la mesure où il ne fait que s'intercaler entre la couche IP et la couche transport.

Ø Le mode tunnel intègre les fonctionnalités du mode transport et permet de protéger un ou plusieurs flux de données entre utilisateurs internes ou connectés via un VPN (Virtual Private Network). Lorsqu'un paquet de données est envoyé sur le réseau, le paquet est lui-même encapsulé dans un autre paquet. On crypte alors le corps de ce nouveau paquet à l'aide d'algorithmes de sécurités adéquats et on ne laisse en clair que l'entête contenant les adresses IP publiques de l'émetteur et du destinataire.

Le mode tunnel propose 2 protocoles de sécurité :

§         PPTP (Point to Point Tunneling Protocol) : Ce protocole standard dans l'industrie a été pris en charge pour la première fois par Windows NT 4.0. PPTP est une extension du protocole PPP (Point to Point Protocol) qui s'appuie sur les mêmes mécanismes d'authentification, de compression et de cryptage que PPP.

§          L2TP / IPSec : Celui-ci gère tous les types de trafic pour assurer l'encapsulation des données. Il encapsule les paquets d'origine dans une trame PPP, en effectuant une compression d'entête si possible, puis encapsule de nouveau dans un paquet de type UDP. IPSec et L2TP sont associés afin d'assurer la sécurité et la tunnelisation des paquets sur n'importe quel réseau IP. Leur association représente également une option garantissant la simplicité, la souplesse d'utilisation, l'interaction et la sécurité.

Figure 9 : Principe d'encapsulation des paquets

IV-5.5 Principe d'échange de clés Internet (IKE)

    Une des spécificités d'IPSec est l'IKE (Internet Key Exchange) qui gère la négociation des protocoles et des algorithmes basés sur la stratégie de sécurité locale pour produire les clés de chiffrage et l'authentification à employer. Ce protocole est un dérivé de plusieurs protocoles. Cette pile de protocoles permet l'échange automatique des clés.

    Le protocole IKE gère la sécurité en établissant un premier tunnel entre les 2 machines (le tunnel IKE^15(*)). La deuxième phase consiste à établir d'autres tunnels secondaires pour la transmission de données utilisateur entre les 2 machines.

    L'authentification utilise les certificats d'ordinateur pour vérifier que les ordinateurs sources et de destination s'approuvent mutuellement. Si la sécurité du transport IPSec est correctement établie, L2TP négocie le tunnel, ainsi que la compression et les options d'authentification de l'utilisateur, puis procède à un contrôle d'accès basé sur l'identité de l'utilisateur.

* ¹³ Transmission Control Protocol/Internet Protocol : Protocole réseau de transmission de données qui exige un accusé de réception du destinataire des données envoyées

* ¹⁴ Protocole de communication  client-serveur développé pour le  World Wide Web.

* ¹⁵Le sigle d' Internet Key Exchange qui est un  protocole réseau lié à  IPsec défini dans la  RFC 2409