Présentation
Auteur(s)
-
Maryline LAURENT-MAKNAVICIUS : Maître de conférences - Institut national des télécommunications (INT), Évry
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleINTRODUCTION
Pour faciliter les communications inter‐ et intra-entreprises, et ainsi pour améliorer leurs relations commerciales et leur productivité, de nombreuses entreprises se connectent à l'Internet, voire se tournent vers des sociétés spécialisées (fournisseurs d'accès Internet, opérateurs...) pour souscrire un service de VPN (Virtual Private Network). Ces réseaux privés virtuels consistent à interconnecter les réseaux d’une ou plusieurs entreprises au travers d'une infrastructure de réseau public, en garantissant, dans la plupart des cas, une certaine qualité de service.
Dès qu'une entreprise effectue des échanges au travers d'un réseau public, sans verser dans la paranoïa, il est important de rester très prudent. En effet, rien ne prouve que ces échanges ne feront pas l'objet d'écoutes lors de leur transfert et qu'ainsi leur teneur ne sera pas révélée à un tiers. C'est l'une des multiples formes que peut prendre l'espionnage industriel. De plus, rien n’assure non plus que le trafic reçu provienne bien du terminal déclaré et qu'il n'est pas issu d'un terminal malveillant ayant usurpé l'identité d'un terminal légitime.
Pour répondre à cette problématique, la solution la plus naturelle et la plus répandue consiste à utiliser le protocole IPsec (IP security), la version sécurisée d'IP. Ce protocole proposé par l'Internet Engineering Task Force (IETF) permet en effet d'authentifier l’origine de paquets IP et de garantir leur confidentialité et leur intégrité. Du fait que la très grande majorité des réseaux d'entreprise repose sur le protocole IP, IPsec apparaît comme la solution la plus naturelle. IPsec est d'ailleurs proposé dans quasiment toutes les offres commerciales de VPN pour assurer la protection des échanges IP, et ce quel que soit le type de réseau de transport exploité dans l'interconnexion (MPLS, IP...).
Cet article décrit le protocole IPsec, en particulier les deux protocoles AH (Authentication Header) et ESP (Encapsulating Security Payload), ainsi que les différents modes d'utilisation. Les problèmes de compatibilité d’IPsec avec les mécanismes de base comme la traduction d’adresses et la fragmentation sont exposés, ainsi que les solutions de sécurité alternatives de type SSL et SHTTP à .
VERSIONS
- Version courante de nov. 2007 par Maryline LAURENT-MAKNAVICIUS
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Archives > [Archives] Sécurité des systèmes d'information > Protocole IPsec > Politique de sécurité : associations de sécurité
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
3. Politique de sécurité : associations de sécurité
Politique de sécurité
La politique de sécurité appliquée sur un site est l’ensemble des paramètres de sécurité nécessaires à la protection du site. Cela regroupe les mécanismes de sécurité pour protéger les connexions, ces derniers nécessitant généralement des précisions supplémentaires comme le type d’algorithme de chiffrement et les clés de chiffrement à utiliser.
La politique de sécurité pour l’IPsec se décline sous forme d’associations de sécurité. Initialement, les deux équipements de sécurité (terminaux, passerelles de sécurité) qui veulent protéger leurs échanges disposent chacun de leur propre politique de sécurité dictée par leur officier de sécurité. Lorsqu’ils souhaitent entrer en communication, ils doivent, en fonction de leur politique de sécurité, se mettre d’accord sur le type d’en-tête de sécurité à introduire/extraire dans les paquets IP, ainsi que les services et les paramètres de sécurité (algorithmes et clés de chiffrement, etc.) à utiliser en vue de protéger les échanges de paquets IP. C’est le résultat de cette négociation qui est appelé association de sécurité.
Une association de sécurité est identifiée par le triplet : indice de paramètre de sécurité ou SPI (Security Parameters Index), adresse de l'équipement de sécurité homologue et protocole de sécurité AH ou ESP. Cela permet à un équipement de sécurité de participer à plusieurs associations de sécurité et de protéger une communication avec une ou plusieurs associations de sécurité.
il est possible que deux équipements de sécurité protègent une communication en utilisant les deux en-têtes AH et ESP, auquel cas les équipements doivent gérer deux associations de sécurité.
Une association de sécurité est unidirectionnelle. Une communication bidirectionnelle passée entre deux terminaux A et B nécessite donc l’intervention de deux associations de sécurité, celle utilisée par A pour protéger les datagrammes de A vers B et celle utilisée par B pour la protection des datagrammes de B vers A.
3.1 Contenu
Une association...
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Politique de sécurité : associations de sécurité
BIBLIOGRAPHIE
-
(1) - CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) - La sécurité des réseaux sans fil et mobiles – volume 1 : Concepts fondamentaux - – 1ère édition, traité IC2, Hermès, avril 2007.
-
(2) - CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) - La sécurité des réseaux sans fil et mobiles – volume 3 : Technologies émergentes - – 1ère édition, traité IC2, Hermès, mars 2007, ISBN 3 978-2-7462-1699-0.
-
(3) - CIZAULT (G.) - IPv6 Théorie et pratique - . 3ème édition, O'Reilly, 2005.
-
(4) - COMBES (J.-M.), MIGAULT (D.), BOURNELLE (J.), CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) - Sécurité des réseaux mobiles IP - – chapitre du traité IC2 .
-
(5) - RESCORLA (E.) - SSL and TLS : Designing and building secure systems - – 2nd edition, Addison-Wesley, 2001.
-
...
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive