Présentation
EnglishRÉSUMÉ
Dès que des communications d'une entreprise sont effectuées au travers d'un réseau public, il est important de rester très prudent. Pour répondre à cette problématique de sécurité, le protocole IPsec, la version sécurisée d'IP, s'avère être la solution la plus complète répondant au plus grand nombre de scénarii. Les problèmes de compatibilité de la suite IPsec avec les mécanismes de base sont exposés. L'usage qui est fait d'IPsec pour sécuriser les VPN, dans le cas de l'interconnexion de réseaux privés distants et de l'accès distant s'y trouve décrit de manière détaillée.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Maryline LAURENT-MAKNAVICIUS : Professeur GET/INT, Institut national des télécommunications, Evry
INTRODUCTION
Pour faciliter leurs communications inter et intra entreprises et améliorer ainsi leurs relations commerciales et leur productivité, de nombreuses entreprises se donnent les moyens d'avoir des outils de communication efficaces et sûrs. Généralement, les entreprises souscrivent un service de VPN (Virtual Private Network) auprès de sociétés spécialisées (fournisseurs d'accès Internet, opérateurs, ...).
À l'avenir, ces entreprises souhaiteraient offrir encore plus de flexibilité à leurs employés en leur permettant de communiquer avec tout type d'équipement (contrôlé, bien sûr), en tout lieu et même en se déplaçant. Aujourd'hui, les techniques associées à la mobilité et à la sécurité ne permettent pas d'offrir une telle flexibilité, mais la communauté scientifique y travaille.
Dès que des communications d'une entreprise sont effectuées au travers d'un réseau public, sans verser dans la paranoïa, il est important de rester très prudent. En effet, qu'est-ce qui prouve que ces échanges ne feront pas l'objet d'écoutes lors de leur transfert et qu'ainsi leur teneur ne sera pas révélée à un tiers ? C'est l'une des multiples formes que peut prendre l'espionnage industriel.
De plus, qu'est-ce qui assure que le trafic reçu provient bien du terminal déclaré et qu'il n'est pas issu d'un terminal malveillant ayant usurpé l'identité d'un terminal légitime ? Cette dernière question s'avère d'autant plus problématique qu'à terme il est fort probable qu'un utilisateur pourra se connecter à son réseau d'entreprise depuis tout type de terminaux.
Pour répondre à cette problématique de sécurité, le protocole IPsec (IP security), la version sécurisée d'IP, s'avère être la solution la plus complète répondant au plus grand nombre de scénarii.
Ce protocole, standardisé par l'IETF, permet en effet d'authentifier les entités communicantes, d'assurer l'authenticité, l'intégrité et la confidentialité des données échangées, et de maintenir un niveau de sécurité acceptable, tout au long des connexions, par la mise à jour périodique des paramètres de sécurité. IPsec est largement employé aujourd'hui, dans un contexte de VPN, pour sécuriser l'interconnexion de réseaux privés distants et, dans une moindre mesure, pour sécuriser l'accès distant opéré par un nomade à son réseau privé d'entreprise. Sur ce dernier point, l'offre IPsec est concurrencée par l'offre VPN SSL (Secure Socket Layer).
Si la tendance se confirme, les infrastructures réseaux des opérateurs devraient progressivement évoluer vers le « tout IP » et la solution IPsec devrait ainsi connaître de nouveaux usages.
Ce dossier décrit la suite de protocoles IPsec, en particulier les trois sous-protocoles : AH (Authentication Header), ESP (Encapsulating Security Payload), et IKE (Internet Key Exchange).
Les problèmes de compatibilité de la suite IPsec avec les mécanismes de base, comme la traduction d'adresses, sont exposés. L'usage qui est fait d'IPsec pour sécuriser les VPN, dans le cas de l'interconnexion de réseaux privés distants et de l'accès distant s'y trouve décrit de manière détaillée. En particulier, le fonctionnement de la solution standard « L2TP over IPsec », dans le cas de l'accès distant, y est expliqué.
Une comparaison avec d'autres solutions de VPN basées sur les protocoles SSL ou SSH est présentée, de manière à permettre aux lecteurs de placer chacun de ces protocoles dans leurs usages et limites. Le dossier conclut en décrivant le rôle fondamental que devrait jouer IPsec dans la sécurisation des réseaux mobiles futurs basés sur le protocole de mobilité IPv6 et présente les nouveaux défis à relever.
VERSIONS
- Version archivée 1 de nov. 2003 par Maryline LAURENT-MAKNAVICIUS
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Cryptographie, authentification, protocoles de sécurité, VPN > Suite de protocoles IPsec au service des VPN et de la mobilité > IPsec au service de la mobilité IPv6
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
11. IPsec au service de la mobilité IPv6
-
À l'avenir, les réseaux, aussi bien les réseaux de données que les réseaux cellulaires, vont évoluer vers le « tout-IP », c'est-à-dire qu'ils vont, au final, tous intégrer la couche IP dans leur fonctionnement. Il en résulte que la mobilité des utilisateurs pourra être prise en compte par un seul et même protocole de mobilité et, à ce jour, le protocole le mieux à même de rendre ce service de mobilité est : Mobile IPv6 .
Ce protocole permet aux utilisateurs de recevoir les données dont ils sont destinataires et ce, où qu'ils soient connectées sur le réseau Internet.
Pour se faire, est défini, pour chaque mobile, un « agent mère HA » (« Home Agent ») qui a la charge d'enregistrer l'adresse temporaire du mobile, correspondant à sa position courante sur le réseau, et de relayer tous les paquets destinés au mobile. À chacun de ses déplacements, le mobile se doit d'informer son HA de sa nouvelle position.
Ces messages BU (Binding Update) d'enregistrement de la position courante du mobile dans le HA sont particulièrement sensibles aux attaques par détournement de trafic. Il est donc nécessaire d'assurer leur protection et de garantir, tout particulièrement, leur authenticité.
Il est aussi important que les flux de données, transmis par le HA au mobile, soient protégés en confidentialité et intégrité et garantis authentiques.
Ces messages BU doivent être protégés par IPsec et privilégient l'usage du sous-protocole ESP en mode transport ; le sous-protocole AH en mode transport étant également possible.
Notons que le mode transport est suffisant ici, puisque les messages liés à l'enregistrement de la localisation du terminal sont exclusivement des échanges point-à-point entre terminal et HA.
-
Au gré de ses déplacements, le terminal peut être amené à se connecter depuis des réseaux d'accès peu sûrs. Il est donc nécessaire de protéger, non seulement la signalisation Mobile IPv6, mais aussi les flux de données. Le protocole Mobile IPv6 () suggère de protéger les flux de données entre le HA et le terminal, sans imposer de protocole de sécurité. IPsec apparaît comme l'un des candidats possibles.
Comme le montre la figure , le protocole IPsec pourrait être au cœur de la sécurité des...
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
IPsec au service de la mobilité IPv6
BIBLIOGRAPHIE
-
(1) - CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) - La sécurité des réseaux sans fil et mobiles – volume 1 : Concepts fondamentaux - – 1ère édition, traité IC2, Hermès, avril 2007.
-
(2) - CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) - La sécurité des réseaux sans fil et mobiles – volume 3 : Technologies émergentes - – 1ère édition, traité IC2, Hermès, mars 2007, ISBN 3 978-2-7462-1699-0.
-
(3) - CIZAULT (G.) - IPv6 Théorie et pratique - . 3ème édition, O'Reilly, 2005.
-
(4) - COMBES (J.-M.), MIGAULT (D.), BOURNELLE (J.), CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) - Sécurité des réseaux mobiles IP - – chapitre du traité IC2 .
-
(5) - RESCORLA (E.) - SSL and TLS : Designing and building secure systems - – 2nd edition, Addison-Wesley, 2001.
-
...
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive