Présentation

Article

1 - PROBLÉMATIQUE DE SÉCURITÉ ET PREMIERS ÉLÉMENTS DE RÉPONSE

2 - CARACTÉRISTIQUES ET FONCTIONNEMENT GÉNÉRAL DE LA SUITE DE PROTOCOLES IPSEC

3 - POLITIQUE DE SÉCURITÉ : LES ASSOCIATIONS DE SÉCURITÉ

4 - EN-TÊTE D'AUTHENTIFICATION AH

5 - EN-TÊTE ESP

6 - PROTOCOLE IKE DE GESTION DYNAMIQUE DES ASSOCIATIONS DE SÉCURITÉ

7 - IPSEC APPLIQUÉ AU PROTOCOLE IPV6

8 - POUR UNE MEILLEURE COMPATIBILITÉ ENTRE IPSEC ET NAT

9 - USAGE DE IPSEC DANS LA CONSTRUCTION DE VPN

10 - POSITIONNEMENT DES VPN IPSEC PAR RAPPORT AUX VPN SSL ET SSH

11 - IPSEC AU SERVICE DE LA MOBILITÉ IPV6

12 - CONCLUSION

13 - BIBLIOGRAPHIE

Article de référence | Réf : TE7545 v2

Problématique de sécurité et premiers éléments de réponse
Suite de protocoles IPsec au service des VPN et de la mobilité

Auteur(s) : Maryline LAURENT-MAKNAVICIUS

Date de publication : 10 nov. 2007

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais En anglais

RÉSUMÉ

Dès que des communications d'une entreprise sont effectuées au travers d'un réseau public, il est important de rester très prudent. Pour répondre à cette problématique de sécurité, le protocole IPsec, la version sécurisée d'IP, s'avère être la solution la plus complète répondant au plus grand nombre de scénarii. Les problèmes de compatibilité de la suite IPsec avec les mécanismes de base sont exposés. L'usage qui est fait d'IPsec pour sécuriser les VPN, dans le cas de l'interconnexion de réseaux privés distants et de l'accès distant s'y trouve décrit de manière détaillée.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Where the communication of a company is carried out via a public network it is important to remain extremely cautious. In order to address this safety issue, the Ipsec protocol, the secured version of IP appears to be the most comprehensive solution meeting the largest amount of scenarios. The compatibility issues of the IPsec suite with basic mechanisms are presented in this article. The use made of IPsec in order to secure the VPNs in the case of the interconnection of remote private networks and of remote access are also detailed.

Auteur(s)

  • Maryline LAURENT-MAKNAVICIUS : Professeur GET/INT, Institut national des télécommunications, Evry

INTRODUCTION

Pour faciliter leurs communications inter et intra entreprises et améliorer ainsi leurs relations commerciales et leur productivité, de nombreuses entreprises se donnent les moyens d'avoir des outils de communication efficaces et sûrs. Généralement, les entreprises souscrivent un service de VPN (Virtual Private Network) auprès de sociétés spécialisées (fournisseurs d'accès Internet, opérateurs, ...).

À l'avenir, ces entreprises souhaiteraient offrir encore plus de flexibilité à leurs employés en leur permettant de communiquer avec tout type d'équipement (contrôlé, bien sûr), en tout lieu et même en se déplaçant. Aujourd'hui, les techniques associées à la mobilité et à la sécurité ne permettent pas d'offrir une telle flexibilité, mais la communauté scientifique y travaille.

Souhaits
Inquiétudes

Dès que des communications d'une entreprise sont effectuées au travers d'un réseau public, sans verser dans la paranoïa, il est important de rester très prudent. En effet, qu'est-ce qui prouve que ces échanges ne feront pas l'objet d'écoutes lors de leur transfert et qu'ainsi leur teneur ne sera pas révélée à un tiers ? C'est l'une des multiples formes que peut prendre l'espionnage industriel.

De plus, qu'est-ce qui assure que le trafic reçu provient bien du terminal déclaré et qu'il n'est pas issu d'un terminal malveillant ayant usurpé l'identité d'un terminal légitime ? Cette dernière question s'avère d'autant plus problématique qu'à terme il est fort probable qu'un utilisateur pourra se connecter à son réseau d'entreprise depuis tout type de terminaux.

Réponses et évolutions

Pour répondre à cette problématique de sécurité, le protocole IPsec (IP security), la version sécurisée d'IP, s'avère être la solution la plus complète répondant au plus grand nombre de scénarii.

Ce protocole, standardisé par l'IETF, permet en effet d'authentifier les entités communicantes, d'assurer l'authenticité, l'intégrité et la confidentialité des données échangées, et de maintenir un niveau de sécurité acceptable, tout au long des connexions, par la mise à jour périodique des paramètres de sécurité. IPsec est largement employé aujourd'hui, dans un contexte de VPN, pour sécuriser l'interconnexion de réseaux privés distants et, dans une moindre mesure, pour sécuriser l'accès distant opéré par un nomade à son réseau privé d'entreprise. Sur ce dernier point, l'offre IPsec est concurrencée par l'offre VPN SSL (Secure Socket Layer).

Si la tendance se confirme, les infrastructures réseaux des opérateurs devraient progressivement évoluer vers le « tout IP » et la solution IPsec devrait ainsi connaître de nouveaux usages.

Précisions

Ce dossier décrit la suite de protocoles IPsec, en particulier les trois sous-protocoles : AH (Authentication Header), ESP (Encapsulating Security Payload), et IKE (Internet Key Exchange).

Les problèmes de compatibilité de la suite IPsec avec les mécanismes de base, comme la traduction d'adresses, sont exposés. L'usage qui est fait d'IPsec pour sécuriser les VPN, dans le cas de l'interconnexion de réseaux privés distants et de l'accès distant s'y trouve décrit de manière détaillée. En particulier, le fonctionnement de la solution standard « L2TP over IPsec », dans le cas de l'accès distant, y est expliqué.

Une comparaison avec d'autres solutions de VPN basées sur les protocoles SSL ou SSH est présentée, de manière à permettre aux lecteurs de placer chacun de ces protocoles dans leurs usages et limites. Le dossier conclut en décrivant le rôle fondamental que devrait jouer IPsec dans la sécurisation des réseaux mobiles futurs basés sur le protocole de mobilité IPv6 et présente les nouveaux défis à relever.

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-te7545


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Version en anglais En anglais

1. Problématique de sécurité et premiers éléments de réponse

  • Le trafic IP en transit peut être la cible d'attaques malveillantes , parmi lesquelles on peut citer classiquement :

    • l'écoute (IP sniffing). Une personne malveillante se place à un endroit du réseau et se met à « écouter » le trafic échangé. Pour réaliser cette attaque, il faut classiquement parvenir à introduire un analyseur de protocoles sur un réseau, ce qui permettra d'espionner les communications et de récupérer des informations confidentielles en transit, comme des mots de passe. Une autre solution consiste à modifier le comportement d'un équipement de réseau (exemple : routeur IP) de manière à récupérer une copie de certains flux vers une machine choisie par l'espion ;

    • l'usurpation d'identité (IP spoofing). Une personne contacte un équipement en se faisant passer pour quelqu'un d'autre. L'équipement contacté croit être en communication avec la personne dont l'identité est usurpée et fournit alors des informations pouvant être confidentielles. Cela consiste généralement à remplacer l'adresse IP d'une station par l'adresse IP d'un terminal légitime ;

    • la modification des données en cours de transfert (IP tampering). Ces données peuvent être modifiées de façon accidentelle ou de façon malveillante. Dans ce dernier cas, une personne malveillante peut réussir à détourner un flux vers une machine sous son contrôle, à effectuer les modifications souhaitées et à réémettre ce flux vers le bon destinataire en faisant croire qu'il provient de la source originale.

  • Afin de se prémunir contre ce type d'attaque, il existe différents mécanismes fréquemment utilisés en sécurité .

    • Le chiffrement permet à l'émetteur de se prémunir des écoutes en ne rendant ses données compréhensibles que par les équipements du réseau autorisés. Il fait appel à deux équipements de sécurité, l'un se chargeant de chiffrer les données émises et l'autre de les déchiffrer à la réception.

      Dans le cas typique où deux réseaux privés sont interconnectés par l'Internet, comme l'illustre la figure , les équipements placés à l'entrée des sites sont appelées des passerelles de sécurité. Celle du...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Problématique de sécurité et premiers éléments de réponse
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) -   La sécurité des réseaux sans fil et mobiles – volume 1 : Concepts fondamentaux  -  – 1ère édition, traité IC2, Hermès, avril 2007.

  • (2) - CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) -   La sécurité des réseaux sans fil et mobiles – volume 3 : Technologies émergentes  -  – 1ère édition, traité IC2, Hermès, mars 2007, ISBN 3 978-2-7462-1699-0.

  • (3) - CIZAULT (G.) -   IPv6 Théorie et pratique  -  . 3ème édition, O'Reilly, 2005.

  • (4) - COMBES (J.-M.), MIGAULT (D.), BOURNELLE (J.), CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) -   Sécurité des réseaux mobiles IP  -  – chapitre du traité IC2 .

  • (5) - RESCORLA (E.) -   SSL and TLS : Designing and building secure systems  -  – 2nd edition, Addison-Wesley, 2001.

  • ...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS