En-tête ESP
Suite de protocoles IPsec au service des VPN et de la mobilité

Pour faciliter leurs communications inter et intra entreprises et améliorer ainsi leurs relations commerciales et leur productivité, de nombreuses entreprises se donnent les moyens d'avoir des outils de communication efficaces et sûrs. Généralement, les entreprises souscrivent un service de VPN (Virtual Private Network) auprès de sociétés spécialisées (fournisseurs d'accès Internet, opérateurs, ...).

À l'avenir, ces entreprises souhaiteraient offrir encore plus de flexibilité à leurs employés en leur permettant de communiquer avec tout type d'équipement (contrôlé, bien sûr), en tout lieu et même en se déplaçant. Aujourd'hui, les techniques associées à la mobilité et à la sécurité ne permettent pas d'offrir une telle flexibilité, mais la communauté scientifique y travaille.

Dès que des communications d'une entreprise sont effectuées au travers d'un réseau public, sans verser dans la paranoïa, il est important de rester très prudent. En effet, qu'est-ce qui prouve que ces échanges ne feront pas l'objet d'écoutes lors de leur transfert et qu'ainsi leur teneur ne sera pas révélée à un tiers ? C'est l'une des multiples formes que peut prendre l'espionnage industriel.

De plus, qu'est-ce qui assure que le trafic reçu provient bien du terminal déclaré et qu'il n'est pas issu d'un terminal malveillant ayant usurpé l'identité d'un terminal légitime ? Cette dernière question s'avère d'autant plus problématique qu'à terme il est fort probable qu'un utilisateur pourra se connecter à son réseau d'entreprise depuis tout type de terminaux.

Pour répondre à cette problématique de sécurité, le protocole IPsec (IP security), la version sécurisée d'IP, s'avère être la solution la plus complète répondant au plus grand nombre de scénarii.

Ce protocole, standardisé par l'IETF, permet en effet d'authentifier les entités communicantes, d'assurer l'authenticité, l'intégrité et la confidentialité des données échangées, et de maintenir un niveau de sécurité acceptable, tout au long des connexions, par la mise à jour périodique des paramètres de sécurité. IPsec est largement employé aujourd'hui, dans un contexte de VPN, pour sécuriser l'interconnexion de réseaux privés distants et, dans une moindre mesure, pour sécuriser l'accès distant opéré par un nomade à son réseau privé d'entreprise. Sur ce dernier point, l'offre IPsec est concurrencée par l'offre VPN SSL (Secure Socket Layer).

Si la tendance se confirme, les infrastructures réseaux des opérateurs devraient progressivement évoluer vers le « tout IP » et la solution IPsec devrait ainsi connaître de nouveaux usages.

Ce dossier décrit la suite de protocoles IPsec, en particulier les trois sous-protocoles : AH (Authentication Header), ESP (Encapsulating Security Payload), et IKE (Internet Key Exchange).

Les problèmes de compatibilité de la suite IPsec avec les mécanismes de base, comme la traduction d'adresses, sont exposés. L'usage qui est fait d'IPsec pour sécuriser les VPN, dans le cas de l'interconnexion de réseaux privés distants et de l'accès distant s'y trouve décrit de manière détaillée. En particulier, le fonctionnement de la solution standard « L2TP over IPsec », dans le cas de l'accès distant, y est expliqué.

Une comparaison avec d'autres solutions de VPN basées sur les protocoles SSL ou SSH est présentée, de manière à permettre aux lecteurs de placer chacun de ces protocoles dans leurs usages et limites. Le dossier conclut en décrivant le rôle fondamental que devrait jouer IPsec dans la sécurisation des réseaux mobiles futurs basés sur le protocole de mobilité IPv6 et présente les nouveaux défis à relever.