Présentation

Article

1 - PROBLÉMATIQUE DE SÉCURITÉ ET PREMIERS ÉLÉMENTS DE RÉPONSE

2 - CARACTÉRISTIQUES ET FONCTIONNEMENT GÉNÉRAL DE LA SUITE DE PROTOCOLES IPSEC

3 - POLITIQUE DE SÉCURITÉ : LES ASSOCIATIONS DE SÉCURITÉ

4 - EN-TÊTE D'AUTHENTIFICATION AH

5 - EN-TÊTE ESP

6 - PROTOCOLE IKE DE GESTION DYNAMIQUE DES ASSOCIATIONS DE SÉCURITÉ

7 - IPSEC APPLIQUÉ AU PROTOCOLE IPV6

8 - POUR UNE MEILLEURE COMPATIBILITÉ ENTRE IPSEC ET NAT

9 - USAGE DE IPSEC DANS LA CONSTRUCTION DE VPN

10 - POSITIONNEMENT DES VPN IPSEC PAR RAPPORT AUX VPN SSL ET SSH

11 - IPSEC AU SERVICE DE LA MOBILITÉ IPV6

12 - CONCLUSION

13 - BIBLIOGRAPHIE

Article de référence | Réf : TE7545 v2

Usage de IPsec dans la construction de VPN
Suite de protocoles IPsec au service des VPN et de la mobilité

Auteur(s) : Maryline LAURENT-MAKNAVICIUS

Date de publication : 10 nov. 2007

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais English

RÉSUMÉ

Dès que des communications d'une entreprise sont effectuées au travers d'un réseau public, il est important de rester très prudent. Pour répondre à cette problématique de sécurité, le protocole IPsec, la version sécurisée d'IP, s'avère être la solution la plus complète répondant au plus grand nombre de scénarii. Les problèmes de compatibilité de la suite IPsec avec les mécanismes de base sont exposés. L'usage qui est fait d'IPsec pour sécuriser les VPN, dans le cas de l'interconnexion de réseaux privés distants et de l'accès distant s'y trouve décrit de manière détaillée.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

  • Maryline LAURENT-MAKNAVICIUS : Professeur GET/INT, Institut national des télécommunications, Evry

INTRODUCTION

Pour faciliter leurs communications inter et intra entreprises et améliorer ainsi leurs relations commerciales et leur productivité, de nombreuses entreprises se donnent les moyens d'avoir des outils de communication efficaces et sûrs. Généralement, les entreprises souscrivent un service de VPN (Virtual Private Network) auprès de sociétés spécialisées (fournisseurs d'accès Internet, opérateurs, ...).

À l'avenir, ces entreprises souhaiteraient offrir encore plus de flexibilité à leurs employés en leur permettant de communiquer avec tout type d'équipement (contrôlé, bien sûr), en tout lieu et même en se déplaçant. Aujourd'hui, les techniques associées à la mobilité et à la sécurité ne permettent pas d'offrir une telle flexibilité, mais la communauté scientifique y travaille.

Souhaits
Inquiétudes

Dès que des communications d'une entreprise sont effectuées au travers d'un réseau public, sans verser dans la paranoïa, il est important de rester très prudent. En effet, qu'est-ce qui prouve que ces échanges ne feront pas l'objet d'écoutes lors de leur transfert et qu'ainsi leur teneur ne sera pas révélée à un tiers ? C'est l'une des multiples formes que peut prendre l'espionnage industriel.

De plus, qu'est-ce qui assure que le trafic reçu provient bien du terminal déclaré et qu'il n'est pas issu d'un terminal malveillant ayant usurpé l'identité d'un terminal légitime ? Cette dernière question s'avère d'autant plus problématique qu'à terme il est fort probable qu'un utilisateur pourra se connecter à son réseau d'entreprise depuis tout type de terminaux.

Réponses et évolutions

Pour répondre à cette problématique de sécurité, le protocole IPsec (IP security), la version sécurisée d'IP, s'avère être la solution la plus complète répondant au plus grand nombre de scénarii.

Ce protocole, standardisé par l'IETF, permet en effet d'authentifier les entités communicantes, d'assurer l'authenticité, l'intégrité et la confidentialité des données échangées, et de maintenir un niveau de sécurité acceptable, tout au long des connexions, par la mise à jour périodique des paramètres de sécurité. IPsec est largement employé aujourd'hui, dans un contexte de VPN, pour sécuriser l'interconnexion de réseaux privés distants et, dans une moindre mesure, pour sécuriser l'accès distant opéré par un nomade à son réseau privé d'entreprise. Sur ce dernier point, l'offre IPsec est concurrencée par l'offre VPN SSL (Secure Socket Layer).

Si la tendance se confirme, les infrastructures réseaux des opérateurs devraient progressivement évoluer vers le « tout IP » et la solution IPsec devrait ainsi connaître de nouveaux usages.

Précisions

Ce dossier décrit la suite de protocoles IPsec, en particulier les trois sous-protocoles : AH (Authentication Header), ESP (Encapsulating Security Payload), et IKE (Internet Key Exchange).

Les problèmes de compatibilité de la suite IPsec avec les mécanismes de base, comme la traduction d'adresses, sont exposés. L'usage qui est fait d'IPsec pour sécuriser les VPN, dans le cas de l'interconnexion de réseaux privés distants et de l'accès distant s'y trouve décrit de manière détaillée. En particulier, le fonctionnement de la solution standard « L2TP over IPsec », dans le cas de l'accès distant, y est expliqué.

Une comparaison avec d'autres solutions de VPN basées sur les protocoles SSL ou SSH est présentée, de manière à permettre aux lecteurs de placer chacun de ces protocoles dans leurs usages et limites. Le dossier conclut en décrivant le rôle fondamental que devrait jouer IPsec dans la sécurisation des réseaux mobiles futurs basés sur le protocole de mobilité IPv6 et présente les nouveaux défis à relever.

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-te7545


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Version en anglais English

9. Usage de IPsec dans la construction de VPN

Les VPN (Virtual Private Network) avait, à l'origine, pour objectif de faciliter les communications des entreprises avec leurs partenaires, les communications internes à une entreprise multi sites, voire les communications entre les nomades de l'entreprise et le réseau mère .

La technique employée consiste simplement à monter un tunnel IP pour s'échanger des données dans le tunnel.

Un VPN peut ne pas être sécurisé.

Même s'il est préférable, dans bien des cas, de protéger les échanges dans le tunnel, cette protection reste optionnelle. On peut donc parler de VPN, sans pour autant que les échanges soient protégés par IPsec ou toute autre solution équivalente.

Un tunnel IP consiste concrètement à encapsuler un paquet IP dans un autre paquet IP de manière à permettre à deux équipements distants de s'échanger des informations et de se comporter comme s'ils étaient connectés localement (par exemple, sur le même réseau local). Ainsi, les deux réseaux locaux distants forment, virtuellement, grâce au tunnel, un même réseau local. Ils réutilisent même leurs adresses privées. Les informations échangées dans le tunnel sont filtrées aux extrêmités du tunnel, mais se contentent d'un filtrage plus léger.

La facilité de communication au travers des VPN a tendance à favoriser un comportement « sans retenue » des équipements qui pensent, en effet, dialoguer en local. Les données échangées peuvent pourtant avoir un caractère confidentiel. Il est donc capital qu'elles soient protégées dans le tunnel. Habituellement, ces tunnels IPsec sont protégés avec le sous protocole ESP et le chiffrement activé.

Dans la suite de ce dossier, nous présentons deux cas concrets de VPN IPsec :

  • l'interconnexion de réseaux privés distants : des équipements distants, chacun positionné sur leur propre réseau privé, communiquent au travers de tunnel(s). Tous les échanges de flux entre réseaux privés transitent via un ou plusieurs tunnels mis en place entre les deux firewalls d'accès des réseaux ;

  • l'accès distant : un équipement isolé se connecte à distance, au travers d'un tunnel, à un réseau privé.

9.1 VPN – interconnexion de réseaux privés distants

Le...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Usage de IPsec dans la construction de VPN
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) -   La sécurité des réseaux sans fil et mobiles – volume 1 : Concepts fondamentaux  -  – 1ère édition, traité IC2, Hermès, avril 2007.

  • (2) - CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) -   La sécurité des réseaux sans fil et mobiles – volume 3 : Technologies émergentes  -  – 1ère édition, traité IC2, Hermès, mars 2007, ISBN 3 978-2-7462-1699-0.

  • (3) - CIZAULT (G.) -   IPv6 Théorie et pratique  -  . 3ème édition, O'Reilly, 2005.

  • (4) - COMBES (J.-M.), MIGAULT (D.), BOURNELLE (J.), CHAOUCHI (H.), LAURENT-MAKNAVICIUS (M.) -   Sécurité des réseaux mobiles IP  -  – chapitre du traité IC2 .

  • (5) - RESCORLA (E.) -   SSL and TLS : Designing and building secure systems  -  – 2nd edition, Addison-Wesley, 2001.

  • ...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS