IPSec - WordPress.com

UCAD
FST
TDSI
 Ahmed Youssef
 [email protected]
1
Plan
 Définition
 Les modes de fonctionnements IPSec
 Les composantes IPSec
 La gestion des clefs pour IPSec
2
Définition
IPSec (IP Security) est un protocole de la couche 3 du modèle OSI destiné à
fournir différents services de sécurité. Il propose ainsi plusieurs choix et
options qui lui permettent de répondre de façon adaptée aux besoins des
entreprises, nomades, extranets, particuliers, etc. Néanmoins, son intérêt
principal reste sans conteste son mode dit de tunnelling
c'est-à-dire
d'encapsulation de paquet IP qui lui permet entre autres choses de créer des
VPNs. Cette technologie a pour but d'établir une communication sécurisée
entre des entités éloignées, séparées par un réseau non sécurisé voir public
comme Internet, et ce de manière quasi-transparente si on le désire.
29/04/09
Définition
La couche IPSec donne donc les moyens d'assurer :
la confidentialité des données échangées (lutter contre l'analyse du
trafic) via le chiffrement.
l’authentification
des
intervenants
et
des
données
dans
communication (signatures).
L’intégrité des données (Hashage).
La protection contre le rejeu (remise de paquets déjà envoyés).
les deux extrémités sont authentifiées.
les adresses sources et destinations sont chiffrées, avec IPSec.
29/04/09
la
Les modes de fonctionnements IPSec
IPSec est un protocole défini par l'IETF permettant de sécuriser les
échanges au niveau de la couche réseau. Il s'agit en fait d'un protocole
apportant des améliorations au niveau de la sécurité au protocole IP afin
de garantir la confidentialité, l'intégrité et l'authentification des échanges.
Il existe deux modes pour IPSec :
Mode transport
Ce mode est utilisé pour créer une communication entre deux hôtes qui
supportent IPSec. Une SA est établie entre les deux hôtes. Les entêtes IP
ne sont pas modifiées et les protocoles AH et ESP sont intégrés entre cette
entête et l'entête du protocole transporté.
Ce mode est souvent utiliser pour sécuriser une connexion Point-To-Point.
29/04/09
Les modes de fonctionnements IPSec
Mode tunnel
Ce mode est utilisé pour encapsuler les datagrammes IP dans IPSec. La SA
est appliquée sur un tunnel IP.
Ainsi, les entêtes IP originales ne sont pas modifiés et un entête propre à
IPSec est crée. Ce mode est souvent utilisé pour créer des tunnels entre
réseaux LAN distant. Effectivement, il permet de relier deux passerelles étant
capable d'utiliser IPSec sans perturber le trafic IP des machines du réseau
qui ne sont donc pas forcément prête à utiliser le protocole IPSec.
On conclure avec :
Le mode tunnel est utilisé entre deux passerelles de sécurité (routeur,
firewall, ...) alors que le mode transport se situe entre deux hôtes.
29/04/09
Les composantes IPSec
Le protocole AH
IP Authentification Header (AH) vise à identifier l’identité des extrémités de
façon certaine. Il gère:
L’intégrité : on s'assure que les champs invariants pendant la transmission,
dans l'entête IP qui précède l'entête AH et les données
L’authentification pour s'assurer que l'émetteur est bien celui qu'il dit être
la protection contre le rejeu : un paquet intercepté par un pirate ne peut pas
être renvoyé.
Il ne gère pas la confidentialité : les données sont signées mais pas cryptées
29/04/09
Les composantes IPSec
Le protocole AH
Les schémas ci-dessous expliquent l’intégration d’AH dans un datagramme IPv4
En mode transport
En mode tunnel
29/04/09
AH utilise les algorithmes
de hachage suivants :
•MD5 (Message Digest
5) algorithme utilise un
hash sur 128 bits.
•SHA-1 (Secure Hash
Algorithme) utilisant un
hash sur 160 bits.
Les composantes IPSec
Le protocole ESP
ESP a pour but de chiffrer les données contenues dans un paquet IP on peut
distinguer deux mode de fonctionnements :
En mode transport, il assure :
•Confidentialité : les données du datagramme IP encapsulé sont cryptées
•Authentification : on s'assure que les paquets viennent bien de l'hôte avec
lequel on communique (qui doit connaître la clé associée à la communication
ESP pour s'authentifier)
•L'intégrité des données transmises
En mode tunnel, c'est l'ensemble du datagramme IP encapsulé dans ESP qui
est crypté
29/04/09
Les composantes IPSec
Le protocole ESP
Les schémas ci-dessous expliquent l’intégration d’ESP dans le datagramme IP
En mode transport
En mode tunnel
29/04/09
ESP utilise les mêmes
algorithmes de hachage
que AH et dispose des
algorithmes de chiffrement
suivants :
DES
(Data
Encryption
Standard) à 56 bits
3DES algorithme utilisant 3
clés symétriques de 56 bits.
Les composantes IPSec
SP (Security Policy)
Une SP défini ce qui doit être traité sur un flux. Comment nous voulons
transformer un paquet.
Il y sera indiqué pour un flux donné :
•Les adresses IP de l'émetteur et du récepteur (unicast, mulitcast ou
broadcast);
•Par quel protocole il devra être traité (AH ou ESP)
•Le mode IPSec à utiliser (tunnel ou transport)
•Le sens de la liaison (entrante ou sortante)
Notons qu'une SP ne défini qu'un protocole de traitement à la fois. Pour
utiliser AH et ESP sur une communication, deux SP devront être créée.
29/04/09
Les composantes IPSec
SA (Security Association)
Association de sécurité SA
définit l'échange des clés et des
paramètres de sécurité. Il existe une SA par sens de communication.
Les paramètres de sécurité sont les suivants :
•Protocole AH et/ou ESP
•Mode tunnel ou transport les algorithmes de sécurité utiliser pour
encrypter, vérifier l'intégrité
•les clés utilisées
29/04/09
Les composantes IPSec
SAD (Security Policy Database)
La SPD est la base de configuration de l’IPSec. Elle permet de dire au
noyau quels paquets il doit traiter. C'est à sa charge de savoir avec quel SA
il fait le traitement.
29/04/09
La gestion des clefs pour IPSec
ISAKMP
ISAKMP (Internet Security Association and Key Management Protocol)
permet la négociation, l'établissement, et la suppression d'associations
de sécurité (SA), permettant ainsi la sécurisation de paquets devant être
acheminés.
Il s'agit d'un cadre générique permettant la négociation des associations
de sécurité, mais il n'impose rien quant aux paramètres qui les
composent. Cette négociation s'effectue en deux phases, permettant de
séparer la négociation des SA pour la protection des données à
transférer, de celle pour la protection du trafic propre à ISAKMP :
29/04/09
La gestion des clefs pour IPSec
ISAKMP
Durant la première phase, un ensemble d'attributs relatifs à la sécurité est
négocié, les identités des tiers sont authentifiées et des clefs sont
générées. Ces éléments forment la SA/ISAKMP. Contrairement aux SA
IPSec, la SA ISAKMP est bidirectionnelle. Elle servira à sécuriser
l'ensemble des échanges ISAKMP futurs.
La seconde phase permet de négocier les paramètres de sécurité qui
interviendront pour le transfert des données applicatives (le paquet IP qui
devait être transmis, et qui est à l'origine de l'établissement d'une SA). Les
échanges de cette phase sont sécurisés grâce à la SA ISAKMP.
29/04/09
La gestion des clefs pour IPSec
IKE (Internet Key Exchange)
IKE utilise ISAKMP pour construire un protocole pratique. Il comprend quatre
modes :
•Le mode principal (Main mode)
•Le mode agressif (Aggressive Mode)
•Le mode rapide (Quick Mode)
•Le mode nouveau groupe (New Groupe Mode)
Main Mode et Aggressive Mode sont utilisés durant la phase 1, Quick Mode est
un échange de phase 2. New Group Mode est un peu à part : Ce n'est ni un
échange de phase 1, ni un échange de phase 2, mais il ne peut avoir lieu
qu'une fois qu'une SA ISAKMP est établie ; il sert à se mettre d'accord sur un
nouveau groupe pour de futurs échanges Diffie-Hellman.
29/04/09
La gestion des clefs pour IPSec
IKE (Internet Key Exchange)
Phase 1 : Main Mode et Aggressive Mode
Les attributs suivants sont utilisés par IKE et négociés durant la phase 1 : un
algorithme de chiffrement, une fonction de hachage, une méthode
d'authentification et un groupe pour Diffie-Hellman.
Trois clefs sont générées à l'issue de la phase 1 : une pour le chiffrement,
une pour l'authentification et une pour la dérivation d'autres clefs. Ces clefs
dépendent des cookies, des aléas échangés et des valeurs publiques DiffieHellman ou du secret partagé préalable. Leur calcul fait intervenir la fonction
de hachage choisie pour la SA ISAKMP et dépend du mode d'authentification
choisi.
29/04/09
La gestion des clefs pour IPSec
IKE (Internet Key Exchange)
Phase 2 : Quick Mode
Les messages échangés durant la phase 2 sont protégés en authenticité et
en confidentialité grâce aux éléments négociés durant la phase 1.
L'authenticité des messages est assurée par l'ajout d'un bloc Hash après
l'en-tête ISAKMP et la confidentialité est assurée par le chiffrement de
l'ensemble des blocs du message.
Quick Mode est utilisé pour la négociation de SA pour des protocoles de
sécurité donnés comme IPSec. Chaque négociation aboutit en fait à deux
SA, une dans chaque sens de la communication.
29/04/09
La gestion des clefs pour IPSec
IKE (Internet Key Exchange)
Les groupes : New Groupe Mode
Le groupe à utiliser pour Diffie-Hellman peut être négocié, par le biais du bloc
SA, soit au cours du Main Mode, soit ultérieurement par le biais du New
Group Mode.
29/04/09