VPN

Ch 7: Securing Site-to-Site Connectivity
Connecting Networks
Chapitre 7
1
Agenda


Introduction aux VPNs

7.1.1.2 Benefits of VPNs

7.1.2.3 Activity - Compare Types of VPNs
7.2 Site-to-Site GRE Tunnels



7.2.2.3 Packet Tracer - Configuring GRE
7.2.2.4 Packet Tracer - Troubleshooting GRE
7.3 Introducing Ipsec

7.1.2.4 Packet Tracer - Configuring VPNs (Optional)

7.3.2.8 Packet Tracer - Configuring GRE over IPsec (Optional)
7.4 Remote Access
TP GSB PtS StS
 Skill exam Ch7
 Exam QCM

2
Objectifs du chapitre

Describe benefits of VPN technology.

Describe site-to-site and remote access VPNs.

Describe the purpose and benefits of GRE tunnels.

Configure a site-to-site GRE tunnel.

Describe the characteristics of IPsec.

Explain how IPsec is implemented using the IPsec protocol
framework.

Explain how the Anyconnect client and clientless SSL
remote access VPN implementations support business
requirements.

Compare IPsec and SSL remote access VPNs.
3
Chapter 7: Introduction





Security is a concern when using the public Internet to conduct business.
Virtual Private Networks (VPNs) are used to ensure the security of data across the
Internet.
A VPN is used to create a private tunnel over a public network.
Data can be secured by using encryption in this tunnel through the Internet and by
using authentication to protect data from unauthorized access.
This chapter explains the concepts and processes related to VPNs, as well as the
benefits of VPN implementations, and the underlying protocols required to
configure VPNs.
4
7.1 VPNs


7.1.1 Fundamentals of VPNs
•
7.1.1.1 Introducing VPNs
•
7.1.1.2 Benefits of VPNs
•
7.1.1.3 Activity - Identify the Benefits of VPNs
7.1.2 Types of VPNs
•
7.1.2.1 Site-to-Site VPNs
•
7.1.2.2 Remote-access VPNs
•
7.1.2.3 Activity - Compare Types of VPNs
•
7.1.2.4 Packet Tracer - Configuring VPNs (Optional)
5
L’extension du LAN présente des risques
L’extension du réseau local privé pour inclure les employés à distance
présente un risque.
 Sécurité du réseau privé virtuel



L’accès à distance par VPN aux ressources d’un site central est
considéré comme « fiable»,
Emplacement du serveur VPN

Les données chiffrées ne peuvent pas être filtrées avant déchiffrement
6
Introduction au RPV - VPN

Les entreprises ont recours aux VPN-RPV pour fournir un accès réseau de
bout en bout aux utilisateurs distants via un réseau étendu public.

Plutôt que d’utiliser comme une ligne louée une connexion dédiée de couche 2,
un VPN utilise des connexions virtuelles routées via Internet.

Le trafic est souvent chiffré pour conserver son caractère privé.
7
Avantages des RPV- VPN

Économie :

Mutualiser un transport tiers (Internet) et économique. Suppression des LS.
•

Sécurité


Grâce à la large bande, les RPV réduisent les coûts de connectivité en augmentant la
bande passante de connexion distante.
Le chiffrement et l’authentification protègent les données transportées (payload).
Évolutivité :

Les RPV utilisent l’infrastructure Internet,
•
facilitant l’ajout de nouveaux utilisateurs pour les entreprises.
•
Possibilité d’augmenter leurs capacités sans élargir sensiblement leur infrastructure.
8
7.1.1.3 Activity - Identify the Benefits of VPNs
9
Typologie des VPN
 VPN d’entreprise
•
VPN-RPV d’accès (poste clients distants à site)
–
•
RPV de site à site.
–
•
 VPN

Remote Access VPNs
Site-to-Site VPNs
RPV de poste à poste.
Opérateur
MPLS
10
VPN-RPV site à site

Pour connecter des sites éloignés de la même façon qu’on utilise une ligne
louée ou une connexion Frame Relay ou autre technologies WAN

Les RPV de site à site sont des extensions pour l’Intranet des
entreprises et les Extranet de leurs partenaires.
11
Avantages, Inconvénients du VPN site à site
 Avantages

Transparence des postes réseaux
•

Meilleure performance
•

Un nombre réduit d’équipements à configurer
Trafic plus simple à contrôler
•

Cryptage pris en charge par des équipements spécialisés
Administration simplifiée
•

Possibilité d’atteindre des équipements ne pouvant pas accueillir de logiciel
client VPN
Les flux passent par les mêmes équipements
Inconvénients

Nécessite une infrastructure réseaux plus complexe et plus couteuse
•

Pas de chiffrement avant le pare-feu ou routeur VPN
•

Equipements spécialisés
Risque de capture de données sensibles
Ralentit les communications entre les 2 sites
•
Toutes les données seront dans le tunnel
12
VPN-RPV d’accès ou de Poste à site PtS

Successeur des réseaux commutés couteux, les RPV d’accès distants ou de
poste à site peuvent connecter des télétravailleurs ou utilisateurs nomades.

Chaque hôte nomade dispose d’un logiciel client VPN
13
Avantages, Inconvénients du RPV poste à site
 Avantages

Indépendant de la localisation de l’utilisateur
•

Un accès internet suffit
Protection totale des communication du poste
 Inconvénients

Logiciel client VPN nécessaire
•

Cryptage exécuter par le poste client VPN
•

Dégradation des performances
Les communications VPN doivent traverser le parefeu du réseau du poste client
VPN
•

Souvent dépendant du serveur VPN du site et peut poser problème lors de
communications VPN vers plusieurs sites (plusieurs client ipsec mal
supporté)
Pas toujours compatible avec le filtrage
En cas de vol du poste client !
•
Nécessite des mécanismes d’authentification forte
14
7.1.2.3 Activity - Compare Types of VPNs
15
Remote Dial-up Vs VPN
Dial-up
Remote User
Client Service
VPN
Network Server
Server Service
Services
TCP/IP
NetBEUI
TCP/IP
NetBEUI
Protocols
LAN
Adapter
Modem
LAN
Adapter
Modem
Adapters
Point-to-Point Protocol
1
2
Line Protocols
Remote User
Network Server
Client Service
Server Service
TCP/IP
NetBEUI
LAN
VPN
Modem
Adapter
Driver
TCP/IP
NetBEUI
LAN
VPN
Modem
Adapter
Driver
Tunnel
3
16
VPN Opérateur

MPLS

Exemple
http://www.magic.fr/securite/vpn/mpls.php?g
clid=CO-uh6S4gbcCFbMQtAod52sASw
17
VPN Opérateur

MPLS

Exemple
http://www.magic.fr/securite/vpn/mpls.php?gclid=C
O-uh6S4gbcCFbMQtAod52sASw
18
19
Caractéristiques des VPN

Les RPV ont recours à des techniques de chiffrement avancées pour garantir
le vecteur CIA

Confidentialité des données: encapsulation et chiffrement
•

Intégrité des données: hachage
•

protéger les données contre l’écoute électronique (usurpation) et le
rejeu.
garantir qu’aucune altération n’a été apportée aux données.
Authentification : signature empreinte - certificats
•
•
garantir que seuls les expéditeurs et périphériques autorisés
accèdent au réseau.
L’identité est vérifiée à partir
–
•
•
•
des mots de passe,
des certificats numériques,
des cartes à puce
voire la biométrie.
20
Composants du réseau privé virtuel

Les RPV s’appuient sur deux composants principaux :

Transmission encapsulée dans un tuyau privé (le tunnel) pour créer le
réseau virtuel ;

Chiffrement pour la confidentialité et la sécurité.
21
Protocoles de « Transmission tunnel »
22
Processus d’encapsulation & tunnel

La transmission « tunnel » encapsule un paquet au sein d’un autre qui sera
envoyé sur le réseau .

Trois classes de protocole utilisées par la transmission tunnel:

Protocole de l’opérateur :
•

Protocole d’encapsulation :
•

Protocole sur lequel circulent les informations (Frame Relay, ATM, MPLS).
Protocole qui conditionne les données originales (GRE, IPSec, L2F, PPTP, L2TP).
Protocole passager ou encapsulé
•
Protocoles réseau à l’origine des données à transférer (IPv4, IPv6 …).
23
24
Protocoles de tunnel de RPV

Les tunnels de RPV sont créés avec des protocoles d’encapsulation
différents tels que:

Couche 1 physique
•



Couche 2 liaison
•
Protocole L2F (Layer 2 Forwarding)
•
Protocole PPTP (Point-to-Point Tunneling Protocol)
•
Protocole L2TP (Layer 2 Tunneling Protocol)
Couche 3
•
Encapsulation générique de routage (GRE)
•
IP Sécurisé (IPSec)
Couche >3
•

Boîtier chiffrant
TLS/SSL, SSH
Tous les protocoles n’offrent pas le même niveau de sécurité.
25
Standards des Protocoles de tunnel VPN
26
7.2 Site-to-Site GRE Tunnels


7.2.1 Fundamentals of Generic Routing Encapsulation
•
7.2.1.1 Introduction to GRE
•
7.2.1.2 Characteristics of GRE
•
7.2.1.3 Activity - Identify GRE Characteristics
7.2.2 Configuring GRE Tunnels
•
7.2.2.1 GRE Tunnel Configuration
•
7.2.2.2 GRE Tunnel Verification
•
7.2.2.3 Packet Tracer - Configuring GRE
•
7.2.2.4 Packet Tracer - Troubleshooting GRE
•
7.2.2.5 Lab - Configuring a Point-to-Point GRE VPN Tunnel
•
7.5.1.3 Summary
27
GRE (Generic Route Encapsulation)

GRE (Encapsulation Générique de Routage) protocole de niveau 3

Souvent utilisé en association avec IPsec ou PPTP

GRE développé par Cisco encapsule n'importe quel paquet de la couche
réseau dans n'importe quel paquet de la couche réseau.
•

Le paquet d'origine est le « payload » du paquet final.
Pas de mécanismes de sécurité renforcée prévus dans GRE
28
Encapsulation GRE

GRE encapsule l'ensemble du paquet IP d'origine dans un paquet GRE
« réencapsulé » dans un nouveau datagramme IP.

L’en-tête de tunnel GRE contient deux champs de 2 octets:
•
drapeau GRE
•
Type de protocole
29
7.2.1.3 Activity - Identify GRE Characteristics
30
5 Etapes de création d’un tunnel GRE

Etape 1. création d'une interface de tunnel.

Étape 2. Affectation du tunnel une adresse IP.

Étape 3. Identification de l'interface physique source de tunnel.

Étape 4. L'identification de l’@ PI destination du tunnel.

Étape 5. Configuration le protocole à encapsuler par GRE
31
32
Avantages / Inconvénients de tunnel GRE


Avantages :

GRE peut acheminer du trafic non IP sur un réseau IP.

GRE prend en charge et le trafic de diffusion, contrairement à IPSec, qui
ne prend en charge que le trafic unicast,

Simple à mettre en œuvre
Inconvénient

GRE ne prévoit pas de cryptage.
33
7.2.2.3 Packet Tracer - Configuring GRE
7.2.2.4 Packet Tracer - Troubleshooting GRE
34
IPsec
(Internet Protocol Security)
35
7.3 Introducing IPsec


7.3.1 Internet Protocol Security

7.3.1.1 IPsec

7.3.1.2 IPsec Security Services
7.3.2 IPsec Framework

7.3.2.1 Confidentiality with Encryption

7.3.2.2 Encryption Algorithms

7.3.2.3 Diffie-Hellman Key Exchange

7.3.2.4 Integrity with Hash Algorithms

7.3.2.5 IPsec Authentication

7.3.2.6 IPsec Protocol Framework

7.3.2.7 Activity - Identify IPsec Terminology and Concepts

7.3.2.8 Packet Tracer - Configuring GRE over IPsec (Optional)
36
Introduction IPsec
 la suite de protocoles Ipsec conçu au départ pour IPv6 fut adaptée
pour IPv4.
 IPSec est un protocole de sécurité au sein de la couche réseau,
développé pour fournir un service de sécurité à base de
cryptographie, permettant de garantir :

la confidentialité,

l’intégrité et l’authenticité des données

l’origine des homologues par l’authentification

ainsi que la non répudiation et le non rejeu
 L'intérêt majeur d’un VPN sur Ipsec

méthode standard et par conséquent interopérable.
37
7.3.1.2 IPsec Security Services
38
Les services proposés par IPSec

Confidentialité des données échangées :


Intégrité des données échangées :


Chiffrer le contenu de chaque paquet IP.
IPSec permet de s'assurer qu'aucun paquet n'a subit de modification quelconque (attaque
dite active) durant son trajet.
Authentification des extrémités :

protocole de niveau 3 qui ne fournit donc qu'une authentification de niveau égal, c-a-d une
authentification des machines IP mettant en oeuvre le protocole et non utiisateurs
Authenticité des données :


Protection contre le rejeu :


permet de s'assurer, pour chaque paquet échangé a bien été émis par la bonne machine
et qu'il est bien à destination de la seconde machine.
IPSec permet de se prémunir contre les attaques consistant à capturer un ou plusieurs
paquets dans le but de les envoyer à nouveau (sans pour autant les avoir déchiffrés) pour
bénéficier des même avantages que l'envoyeur initial.
Protection contre les écoutes et analyses de trafic :

le mode tunneling IPSec permet de chiffrer les @ IP réelles source et destination, ainsi
que tout l'en-tête IP
39
Confidentialité

Assurée par le chiffrement symétrique ou asymétrique
40
Algorithmes de chiffrement symétriques

DES (Data Encryption Standard) :

Chiffrement à clé symétrique.

développée par IBM.

DES utilise une clé 56 bits, ce qui garantit un chiffrement haute
performance.
41
Algorithmes de chiffrement symétriques …/…


3DES (Triple DES) :

3DES fonctionne de la même façon que DES, c'est-à-dire que les
données sont réparties en blocs de 64 bits.

3DES traite ensuite chaque bloc trois fois, chaque fois avec une clé de
56 bits différente.

3DES fournit une puissance de chiffrement considérable par rapport à
DES 56 bits.
AES (Advanced Encryption Standard) :

Chiffrement à clé symétrique.

AES offre une meilleure sécurité par rapport à DES.

le NIST (National Institute of Standards and Technology) a récemment
adopté la norme AES pour remplacer le chiffrement DES existant dans
les périphériques cryptographiques.

AES offre trois longueurs de clé différentes : 128, 192 et 256 bits.
42
Algorithmes de chiffrement asymétriques …/…

RSA (Rivest, Shamir et Adleman):

RSA est chiffrement à clé asymétrique.

Ce système utilise une longueur de clé de 512, 768, 1024 bits ou plus.

IPSec n’utilise pas RSA pour le chiffrement des données.
•
Mais IKE utilise uniquement le chiffrement RSA au cours de la phase
d’authentification des homologues.
43
Démonstration RSA

Voir http://www.securecottage.com/demo/rsa2.html
44
L’accord de Diffie-Hellman (DH)
Au lieu de configurer les clés manuellement « en statique ».
 Les clés peuvent également être définies par l’utilisation d’une méthode
d’échange de clés.


L’accord de clé Diffie-Hellman (DH) est l’une méthode publique
d’échange de clés les plus courantes.
•

DH constitue un moyen pour deux homologues d’établir une clé
secrète partagée, reconnue par eux seuls, lorsqu’ils communiquent
sur un canal non sécurisé.
Le groupe Diffie-Hellman précisent la longueur de chiffrement à utiliser.
•
•
•
DH GROUPE 1 : utilise la cryptographie 768 bits.
DH GROUPE 2 : utilisation de la cryptographie 1 024 bits. (PIX
Firewall et Cisco ASA uniquement
DH GROUPE 5 : Spécifie l’utilisation de la cryptographie 1 536 bits.
45
Intégrité

Un algorithme d’intégrité des données ajoute un condensat ou une signature
(hachage) au message.


Hachage = empreinte numérique de n bits calculer à partir d'un fichier
numérique et d’une fonction cryptographique.
le message reçu est considéré comme une copie exacte du message
transmis.

Si le hachage transmis = au hachage du message reçu
46
2 algorithmes HMAC les plus courant

MD5 (Message Digest 5) :
•
•

algorithme MD5 utilise une clé secrète partagée de 128 bits.
Calcule à partir d'un fichier numérique, son empreinte numérique de
128 bits
•
Ce résultat dit hachage 128 bits est ajouté au message original
•
plus ancien et moins sûr
SHA-1 (Secure Hash Algorithm 1) :
•
•
algorithme SHA1 utilise une clé secrète de 160 bits.
Le résultat est un hachage 160 bits ajouté au message original et
transmis à l’extrémité distante.
47
Authentication

Ipsec permet deux types d'authentifications,

PSK (Pre-Shared Key ou secret partagé) pour la génération de clefs de
sessions

ou à l'aide de certificats/signatures (RSA).
Remote office
Corporate Office
Internet
HR
servers
Peer
authentication
48
Authentication
Local Peer
Auth. Key
Remote Router
+ ID
Information
Auth. Key
+ ID
Information
Hash
Hash
Internet
Authenticating hash
(Hash_I)
Computed
hash
(Hash)
=
Received
hash
(Hash_I)
49
Signatures par certificat numérique

In modern times, a signed document is notarized with a seal and a signature.
50
51
IOS cryptosystem synthèse
52
Exercice D4 8.3.6
53
Exercice D4 8.3.6
54
7.3.2.7 Activity - Identify IPsec Terminology and Concepts
55
7.3.2.7 Activity - Identify IPsec Terminology and Concepts
56
7.3.2.7 Activity - Identify IPsec Terminology and Concepts
57
Les deux types de transformation IPsec

Deux types de transformations de données sont prévus pour IPSec en En
fonction du niveau de sécurité souhaitée:
58
Cadre d’implémentation d’IPsec

IPsec fournit le cadre et l’administrateur
choisit les algorithmes pour
l’implémentation des services de
sécurité dans ce cadre
59
Architecture IPsec
60
Deux modes de fonctionnement Ipsec

Indépendamment des deux sous protocoles AH/ESP, deux modes principaux
de mise en œuvre sont possibles :

Le mode transport :
•
•
•
seules les données en provenance des couches supérieures à la
couche IPSec vont être protégées
ne modifie pas l'en-tête initial mais s'intercale entre le protocole
réseau (IP) et le protocole de transport (TCP, UDP...).
utilisé pour acheminer les données de type Host-to-Host
–
On peut choisir le protocole AH, ESP ou les deux.
61
Deux modes de fonctionnement Ipsec

Le mode tunnel :

IPsec crée un tunnel pour la communication entre deux machines pour
bien sécuriser les données.

Ce mode crée un nouveau paquet IP encapsulant le paquet IP qui doit
être transporté.

remplace les en-têtes IP originaux et encapsule la totalité du paquet IP.
•
Par exemple, l‘@ IPA externe pourra être celle de la passerelle de
sécurité implémentant IPSec, et l'adresse IPB interne sera celle de la
machine finale, sur le réseau derrière la passerelle.
62
Synthèse des 2 modes principaux
63
Le 3éme mode ipsec : le Nesting
Mode hybride qui utilise les 2 AH et ESP.
 encapsuler de l'IPSec dans de l'IPSec.

64
Le protocole AH

À utiliser si la confidentialité n’est pas requise ou autorisée.

assure par un mécanisme de signature chiffrée l’authentification et l’intégrité des
données IP.
•
Vérifie qu’aucun message transmis n’a été modifié lors du transit.
•
Vérifie également que les données proviennent bien de la source.
65
Authentication Header (AH)

Si le protocole AH est utilisé seul, la protection est faible.
•
AH ne garantit pas la confidentialité (chiffrement) des données dans les paquets.
AH mode transport
AH mode Tunnel
66
Les différents mode d’utilisation d’Ipsec AH
67
Le protocole ESP

Assure confidentialité et l’authentification


Le chiffrement des paquets IP masque les données et l’identité de leur
source et de leur destination.
ESP authentifie le paquet IP interne et l’en-tête ESP.

identifier la source des données et garantir leur intégrité.
68
Exemple de capture ESP
69
Encapsulating Security Payload (ESP)
mode Transport
mode Tunnel
70
71
7.3.2.8 Packet Tracer - Configuring GRE over IPsec
(Optional)
72
7.4 Remote Access


7.4.1 Remote-access VPN Solutions

7.4.1.1 Types of Remote-access VPNs

7.4.1.2 Cisco SSL VPN

7.4.1.3 Cisco SSL VPN Solutions

7.4.1.4 Activity – Compare Cisco SSL VPN Solutions
7.4.2 IPsec Remote-access VPNs

7.4.2.1 IPsec Remote Access

7.4.2.2 Cisco Easy VPN Server and Remote

7.4.2.3 Cisco Easy VPN Client

7.4.2.4 Comparing IPsec and SSL

7.4.2.5 Activity - Identify Remote-Access Characteristics
73
7.4.1.1 Types of Remote-access VPNs

Deux méthodes principales pour le déploiement d'accès à distance VPN :

SSL ‘Secure Sockets Layer)

IPsec (IP Security )
74
7.4.1.3 Cisco SSL VPN Solutions

Cisco AnyConnect Secure Mobility Client with SSL

Cisco Secure Mobility Clientless SSL VPN
75
7.4.2.1 IPsec Remote Access

De nombreuses applications nécessitent la sécurité d'une connexion VPN
avec accès à distance IPsec pour l'authentification et le cryptage des
données

La fonctionnalité de la solution Cisco Easy VPN offre une grande
flexibilité
76
7.4.2.3 Cisco Easy VPN Client IPsec

Exemple de Cisco VPN Client
77
7.4.2.4 Comparing IPsec and SSL
Selon ses besoins, une entreprise peut mettre en œuvre l’un ou les deux
 IPsec dépasse SSL sur plusieurs aspects importants :



Nombre d'applications pris en charge – robustesse du cryptage et de
l’authentification
SSL apporte une facilité de déploiement et d’utilisation supérieure
78
7.4.2.5 Activity - Identify Remote-Access Characteristics
79
Illustrations,
Exercices
RPV/VPN
80
Tunnels classiques et partagés

Les clients du réseau privé virtuel reçoivent une interface réseau logique
avec une adresse IPv4 significative sur le réseau interne du site central
81
Exercice
82
Site central
83
Site central
84
85
86
Explo4- 637-Observer une simulation


Observer une simulation d’une petite société dont la connectivité Internet a été configurée
avec deux routeurs.

L’un se trouve sur le site central et le second sur le site de l’agence.

Ils souhaitent accéder aux ressources entre les deux sites mais pensent que le
trafic Internet n’est pas sécurisé.

Pour y remédier, l’implémentation d’un réseau privé virtuel de site à site à été
recommandée entre les deux sites.

Un réseau privé virtuel permettrait au site de l’agence de se connecter au site
central de manière sécurisée, en créant un tunnel chargé de chiffrer et de
déchiffrer les données.
En vous reportant au diagramme de topologie, vous utiliserez l’utilitaire de configuration Web
du routeur Linksys pour définir les paramètres et pour activer un réseau privé virtuel appelé
Site à Site en utilisant l’authentification MD5, le chiffrement 3DES et la clé pré-partagée
cisco123.
87
Configuration du Site central
88
Configuration du Site central
89
Configuration Agence
90
Configuration Agence
91
Résumé


Un RPV est une extension du LAN « privé interne ».

Vers des agences ou des télétravailleurs (intranet), des partenaires
(extranet)

Les RPV transmettent les informations en toute sécurité sur des réseaux
partagés ou publics, comme Internet.
Les 2 catégorie de RPV sont :

RPV de site à site :
•

Réseaux privés virtuels d’accès distant :
•

Extension du réseau étendu classique via une passerelle (routeur,
pare-feu …) qui encapsule les paquets
Chaque hôte dispose du logiciel client VPN
Les RPV s’appuient sur deux composants principaux :

la transmission (encapsulation) tunnel, pour créer le réseau virtuel ;

le chiffrement, pour la confidentialité et la sécurité.
92
Résumé RPV


Les méthodes de transmission tunnel incluent :

l’encapsulation générique de routage GRE,

la sécurité IP (IPSec) ;

les protocoles LF2 (Layer 2 Forwarding) , PPTP (Point-to-Point
Tunneling Protocol) et L2TP (Layer 2 Tunneling Protocol).

SSL/TLS
Les 2 types d’algorithmes de chiffrement des RPV sont :

Les algorithmres symétriques
•

DES (Data Encryption Standard) et 3DES; AES (Advanced
Encryption Standard)
et les algorithmres asymétriques :
•
RSA (Rivest, Shamir et Adleman).
93
Résumé Ipsec Présentation

Réalisée dans le but de fonctionner avec le protocole IPv6,


la suite de protocoles IPsec fut adaptée pour IPv4.
Son objectif est d'authentifier et de chiffrer les données :

le flux ne pourra être « compréhensible » que par le destinataire final
(chiffrement)

et la modification des données par des intermédiaires ne pourra être
possible (intégrité).
94
Résumé Ipsec Fonctionnement
 Lors de l'établissement d'une connexion IPsec, plusieurs opérations sont
effectuées :

Échange des clés un canal d'échange de clés, sur une connexion UDP
depuis et vers le port 500 (ISAKMP pour Internet Security Association
and Key Management Protocol), défini dans la RFC 2408

Le protocole IKE (Internet Key Exchange) est chargé de négocier la
connexion.
•

Avant qu'une transmission IPSec puisse être possible, IKE est utilisé
pour authentifier les deux extrémités d'un tunnel sécurisé en
échangeant des clés partagées.
Ce protocole permet deux types d'authentifications, PSK (Pre-Shared Key ou
secret partagé) pour la génération de clefs de sessions ou à l'aide de
certificats/signatures RSA.

Une signature est un certificat signé par une tierce-partie appelée
Autorité de certification qui offre l'Authentification
95
Résumé IPsec


IPSec utilise une association de sécurité SA (Security Association) pour
dicter comment les parties vont faire usage de AH et de l'encapsulation de la
charge utile d'un paquet.

Une association de sécurité (SA) est l'établissement d'information de
sécurité partagée entre deux entités de réseau pour soutenir la
communication protégée.

Une SA peut être établie par une intervention manuelle ou par ISAKMP
(Internet Security Association and Key Management Protocol).
ISAKMP est défini dans la RFC 2408 comme un cadre pour établir, négocier,
modifier et supprimer des SA entre deux parties.

En centralisant la gestion des SA, ISAKMP réduit la quantité de
fonctionnalité reproduite dans chaque protocole de sécurité. ISAKMP
réduit également le nombre d'heures exigé par l'installation de
communications, en négociant tous les services simultanément
96
Résumé IPsec

Pour véhiculer le trafic des données deux protocoles sont possibles :

AH (Authentication Header) port no 51 qui fournit l'intégrité et
l'authentification.
•
AH authentifie les paquets en les signant, ce qui assure l'intégrité de
l'information.
–

Une signature unique est créée pour chaque paquet envoyé ce qui garantit sa
conformité.
ESP (Encapsulating Security Payload) port no 50, fournit en
plus de l'intégrité et de l'authentification la confidentialité par
l'entremise de la cryptographie.
97
Synthèse des modes de mise en oeuvre
98
Résumé Ipsec - Modes de fonctionnement

Indépendamment des deux protocoles possibles AH/ESP, deux modes sont
possibles

Dans le cadre du mode transport,
•
•

Si l'on ne veut sécuriser que les données, on va choisir d'utiliser le
mode transport.
Il est généralement utilisé pour acheminer les données de type Hostto-Host. On peut choisir le protocole AH, ESP ou les deux.
Dans le cadre du mode tunnel,
•
•
•
IPsec crée un tunnel pour la communication entre deux machines
pour bien sécuriser les données.
Le mode tunnel est très utilisé par le protocole IPsec dans le réseau
de type LAN-to-LAN car il offre une protection contre l'analyse de
trafic, les adresses de la source et l'adresse de destinataire sont
toutes masquées.
On doit choisir entre le protocole AH ou ESP. Ce mode crée un
nouveau paquet IP encapsulant celui qui doit être transporté.
99
Résumé Ipsec - Algorithmes cryptographiques


Algorithmes cryptographiques

Pour que les réalisations d'IPsec interopèrent, ils doivent avoir un ou
plusieurs d'algorithmes de sécurité en commun.

Les algorithmes de sécurité utilisés pour une association de sécurité
‘SA) ESP ou AH sont déterminés par un mécanisme de négociation, tel
que IKE (Internet Key Exchange)
Les algorithmes de chiffrage et d'authentification pour IPsec encapsulant le
protocole ESP et AH sont:

HMAC-SHA1-96 (RFC 2404)

AES-CBC (RFC 3602)

TripleDES-CBC (RFC 2451)
100
Résumé IPsec

IPSec est une infrastructure de normes ouvertes qui offre confidentialité,
intégrité et authentification des données entre homologues participants.


Les clés de chiffrement peuvent être configurées grâce à l’utilisation d’une
méthode d’échange de clés.


IPSec fournit ces services de sécurité à la couche 3.
L’accord de clé Diffie-Hellman (DH) est une méthode publique d’échange
de clés.
Pour prévenir l’interception et la modification de données du réseau privé
virtuel, un algorithme d’intégrité des données peut être utilisé pour ajouter un
hachage au message.
101
La SPD (Security Policy Database)

liste ordonnée d'entrées contenant des critères de contrôle d'accès, similaires
à des règles de pare-feux.

Il y a 2 SPDs par interfaces, une pour le trafic entrant, l'autre pour le trafic
sortant.


Chaque entrée de ces SPDs précise un traitement à appliquer au paquet
pour lequel la règle s'applique (quand le critère de sélection ou sélecteur
est vrai);

ces traitements sont DROP (jette), BYPASS (laisse passer) ou IPSec
PROCESS (traitement avec IPSec).
Tout comme les règles d'un pare-feu ou encore les SAs vues précédemment,
les sélecteurs sont les suivants :

Adresses IP de source et de destination, masques, intervalles... Ports de
source et de destination Protocole supérieur Utilisateur ou identifiant de
système (ou certificats X.509 réutilisés par les SAs...)
102
103