Présentation
EnglishRÉSUMÉ
Dès que des communications d'une entreprise sont effectuées au travers d'un réseau public, il est important de rester très prudent. Pour répondre à cette problématique de sécurité, le protocole IPsec, la version sécurisée d'IP, s'avère être la solution la plus complète répondant au plus grand nombre de scénarii. Les problèmes de compatibilité de la suite IPsec avec les mécanismes de base sont exposés. L'usage qui est fait d'IPsec pour sécuriser les VPN, dans le cas de l'interconnexion de réseaux privés distants et de l'accès distant s'y trouve décrit de manière détaillée.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Maryline LAURENT-MAKNAVICIUS : Professeur GET/INT, Institut national des télécommunications, Evry
INTRODUCTION
Pour faciliter leurs communications inter et intra entreprises et améliorer ainsi leurs relations commerciales et leur productivité, de nombreuses entreprises se donnent les moyens d'avoir des outils de communication efficaces et sûrs. Généralement, les entreprises souscrivent un service de VPN (Virtual Private Network) auprès de sociétés spécialisées (fournisseurs d'accès Internet, opérateurs, ...).
À l'avenir, ces entreprises souhaiteraient offrir encore plus de flexibilité à leurs employés en leur permettant de communiquer avec tout type d'équipement (contrôlé, bien sûr), en tout lieu et même en se déplaçant. Aujourd'hui, les techniques associées à la mobilité et à la sécurité ne permettent pas d'offrir une telle flexibilité, mais la communauté scientifique y travaille.
Dès que des communications d'une entreprise sont effectuées au travers d'un réseau public, sans verser dans la paranoïa, il est important de rester très prudent. En effet, qu'est-ce qui prouve que ces échanges ne feront pas l'objet d'écoutes lors de leur transfert et qu'ainsi leur teneur ne sera pas révélée à un tiers ? C'est l'une des multiples formes que peut prendre l'espionnage industriel.
De plus, qu'est-ce qui assure que le trafic reçu provient bien du terminal déclaré et qu'il n'est pas issu d'un terminal malveillant ayant usurpé l'identité d'un terminal légitime ? Cette dernière question s'avère d'autant plus problématique qu'à terme il est fort probable qu'un utilisateur pourra se connecter à son réseau d'entreprise depuis tout type de terminaux.
Pour répondre à cette problématique de sécurité, le protocole IPsec (IP security), la version sécurisée d'IP, s'avère être la solution la plus complète répondant au plus grand nombre de scénarii.
Ce protocole, standardisé par l'IETF, permet en effet d'authentifier les entités communicantes, d'assurer l'authenticité, l'intégrité et la confidentialité des données échangées, et de maintenir un niveau de sécurité acceptable, tout au long des connexions, par la mise à jour périodique des paramètres de sécurité. IPsec est largement employé aujourd'hui, dans un contexte de VPN, pour sécuriser l'interconnexion de réseaux privés distants et, dans une moindre mesure, pour sécuriser l'accès distant opéré par un nomade à son réseau privé d'entreprise. Sur ce dernier point, l'offre IPsec est concurrencée par l'offre VPN SSL (Secure Socket Layer).
Si la tendance se confirme, les infrastructures réseaux des opérateurs devraient progressivement évoluer vers le « tout IP » et la solution IPsec devrait ainsi connaître de nouveaux usages.
Ce dossier décrit la suite de protocoles IPsec, en particulier les trois sous-protocoles : AH (Authentication Header), ESP (Encapsulating Security Payload), et IKE (Internet Key Exchange).
Les problèmes de compatibilité de la suite IPsec avec les mécanismes de base, comme la traduction d'adresses, sont exposés. L'usage qui est fait d'IPsec pour sécuriser les VPN, dans le cas de l'interconnexion de réseaux privés distants et de l'accès distant s'y trouve décrit de manière détaillée. En particulier, le fonctionnement de la solution standard « L2TP over IPsec », dans le cas de l'accès distant, y est expliqué.
Une comparaison avec d'autres solutions de VPN basées sur les protocoles SSL ou SSH est présentée, de manière à permettre aux lecteurs de placer chacun de ces protocoles dans leurs usages et limites. Le dossier conclut en décrivant le rôle fondamental que devrait jouer IPsec dans la sécurisation des réseaux mobiles futurs basés sur le protocole de mobilité IPv6 et présente les nouveaux défis à relever.
VERSIONS
- Version archivée 1 de nov. 2003 par Maryline LAURENT-MAKNAVICIUS
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Cryptographie, authentification, protocoles de sécurité, VPN > Suite de protocoles IPsec au service des VPN et de la mobilité > Usage de IPsec dans la construction de VPN
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
9. Usage de IPsec dans la construction de VPN
Les VPN (Virtual Private Network) avait, à l'origine, pour objectif de faciliter les communications des entreprises avec leurs partenaires, les communications internes à une entreprise multi sites, voire les communications entre les nomades de l'entreprise et le réseau mère .
La technique employée consiste simplement à monter un tunnel IP pour s'échanger des données dans le tunnel.
Un VPN peut ne pas être sécurisé.
Même s'il est préférable, dans bien des cas, de protéger les échanges dans le tunnel, cette protection reste optionnelle. On peut donc parler de VPN, sans pour autant que les échanges soient protégés par IPsec ou toute autre solution équivalente.
Un tunnel IP consiste concrètement à encapsuler un paquet IP dans un autre paquet IP de manière à permettre à deux équipements distants de s'échanger des informations et de se comporter comme s'ils étaient connectés localement (par exemple, sur le même réseau local). Ainsi, les deux réseaux locaux distants forment, virtuellement, grâce au tunnel, un même réseau local. Ils réutilisent même leurs adresses privées. Les informations échangées dans le tunnel sont filtrées aux extrêmités du tunnel, mais se contentent d'un filtrage plus léger.
La facilité de communication au travers des VPN a tendance à favoriser un comportement « sans retenue » des équipements qui pensent, en effet, dialoguer en local. Les données échangées peuvent pourtant avoir un caractère confidentiel. Il est donc capital qu'elles soient protégées dans le tunnel. Habituellement, ces tunnels IPsec sont protégés avec le sous protocole ESP et le chiffrement activé.
Dans la suite de ce dossier, nous présentons deux cas concrets de VPN IPsec :
-
l'interconnexion de réseaux privés distants : des équipements distants, chacun positionné sur leur propre réseau privé, communiquent au travers de tunnel(s). Tous les échanges de flux entre réseaux privés transitent via un ou plusieurs tunnels mis en place entre les deux firewalls d'accès des réseaux ;
-
l'accès distant : un équipement isolé se connecte à distance, au travers d'un tunnel, à un réseau privé.
9.1 VPN – interconnexion de réseaux privés distants
Le...
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Usage de IPsec dans la construction de VPN
BIBLIOGRAPHIE
-
(1) - CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) - La sécurité des réseaux sans fil et mobiles – volume 1 : Concepts fondamentaux - – 1ère édition, traité IC2, Hermès, avril 2007.
-
(2) - CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) - La sécurité des réseaux sans fil et mobiles – volume 3 : Technologies émergentes - – 1ère édition, traité IC2, Hermès, mars 2007, ISBN 3 978-2-7462-1699-0.
-
(3) - CIZAULT (G.) - IPv6 Théorie et pratique - . 3ème édition, O'Reilly, 2005.
-
(4) - COMBES (J.-M.), MIGAULT (D.), BOURNELLE (J.), CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) - Sécurité des réseaux mobiles IP - – chapitre du traité IC2 .
-
(5) - RESCORLA (E.) - SSL and TLS : Designing and building secure systems - – 2nd edition, Addison-Wesley, 2001.
-
...
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive