IPsec

Un article de Wikipédia, l'encyclopédie libre.

Cet article est une ébauche concernant la sécurité informatique et la cryptologie.

Vous pouvez partager vos connaissances en l’améliorant. (Comment ?).

La forme ou le fond de cet article est à vérifier.

Améliorez-le, ou discutez des points à vérifier. Si vous venez d’apposer le bandeau, merci d’indiquer ici les points à vérifier.

IPSec (Internet Protocol Security) est un ensemble de protocoles (couche 3 modèle OSI) utilisant des algorithmes permettant le transport de données sécurisées sur un réseau IP.

Sommaire

1 Présentation
2 Fonctionnement
- 2.1 Modes de fonctionnement
3 Liste des RFC relatives à IPsec
4 Voir aussi

[modifier] Présentation

Réalisée dans le but de fonctionner avec le protocole IPv6, la suite de protocoles IPSec fut adaptée pour l'actuel protocole IP (IPv4).

Son objectif est d'authentifier et de chiffrer les données : le flux ne pourra être compréhensible que par le destinataire final (chiffrement) et la modification des données par des intermédiaires ne pourra être possible (intégrité).

IPsec est souvent un composant de VPN, il est à l'origine de son aspect sécurité (canal sécurisé ou tunneling).

La mise en place d'une architecture sécurisée à base d'IPsec est détaillée dans la RFC 2401 (la RFC 2401 est obsolète et remplacée par la RFC 4301).

[modifier] Fonctionnement

Lors de l'établissement d'une connexion IPsec, plusieurs opérations sont effectuées :

Échange des clés

un canal d'échange de clés, sur une connexion UDP depuis et vers le port 500 (ISAKMP pour Internet Security Association and Key Management Protocol), défini dans la RFC 2408.

Le protocole IKE est en charge de négocier la connexion. Ce protocole permet deux types d'authentifications, PSK (Pre-Shared Key ou secret partagé) pour la génération de clefs de sessions ou à l'aide de certificats/signatures RSA.

Transfert des données

un ou plusieurs canaux de données par lesquels le trafic du réseau privé est véhiculé, deux protocoles sont possibles :
- le protocole n°50, ESP (Encapsulating Security Payload), défini dans la RFC 2406 qui fournit l' intégrité et la confidentialité
- le protocole n°51, AH, (Authentication Header), défini dans la RFC 2402 et qui ne fournit que l'intégrité.

[modifier] Modes de fonctionnement

Indépendamment des deux protocoles possibles AH/ESP, deux modes sont possibles, tunnel ou transport :

Dans le cadre du mode transport, Si l'on ne veut sécuriser que les données, on va choisir d'utiliser le mode transport. Il est généralement utilisé pour acheminer les données de type Host-to-Host. On peut choisir le protocole AH, ESP ou les deux.
Dans le cadre du mode tunnel, IPSec crée un tunnel pour la communication entre deux machines pour bien sécuriser les données. Le mode tunnel est très utilisé par le protocole IPSec dans le réseau de type LAN-to-LAN car il offre une protection contre l'analyse de trafic, les adresses de la source et l'adresse de destinataire sont toutes masquées. On doit choisir entre le protocole AH ou ESP. Ce mode crée un nouveau paquet IP encapsulant celui qui doit être transporté.

[modifier] Liste des RFC relatives à IPsec

RFC 2367: PF_KEY Interface
RFC 2401 (obsoleted by RFC 4301): Security Architecture for the Internet Protocol
RFC 2402 (obsoleted by RFC 4302 and RFC 4305): Authentication Header
RFC 2403: The Use of HMAC-MD5-96 within ESP and AH
RFC 2404: The Use of HMAC-SHA-1-96 within ESP and AH
RFC 2405: The ESP DES-CBC Cipher Algorithm With Explicit IV
RFC 2406 (obsoleted by RFC 4303 and RFC 4305): Encapsulating Security Payload
RFC 2407 (obsoleted by RFC 4306): IPsec Domain of Interpretation for ISAKMP (IPsec DoI)
RFC 2408 (obsoleted by RFC 4306): Internet Security Association and Key Management Protocol (ISAKMP)
RFC 2409 (obsoleted by RFC 4306): Internet Key Exchange (IKE)
RFC 2410: The NULL Encryption Algorithm and Its Use With IPsec
RFC 2411: IP Security Document Roadmap
RFC 2412: The OAKLEY Key Determination Protocol
RFC 2451: The ESP CBC-Mode Cipher Algorithms
RFC 2857: The Use of HMAC-RIPEMD-160-96 within ESP and AH
RFC 3526: More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE)
RFC 3706: A Traffic-Based Method of Detecting Dead Internet Key Exchange (IKE) Peers
RFC 3715: IPsec-Network Address Translation (NAT) Compatibility Requirements
RFC 3947: Negotiation of NAT-Traversal in the IKE
RFC 3948: UDP Encapsulation of IPsec ESP Packets
RFC 4106: The Use of Galois/Counter Mode (GCM) in IPsec Encapsulating Security Payload (ESP)
RFC 4301 (obsoletes RFC 2401): Security Architecture for the Internet Protocol
RFC 4302 (obsoletes RFC 2402): IP Authentication Header
RFC 4303 (obsoletes RFC 2406): IP Encapsulating Security Payload (ESP)
RFC 4304: Extended Sequence Number (ESN) Addendum to IPsec Domain of Interpretation (DOI) for Internet Security Association and Key Management Protocol (ISAKMP)
RFC 4305: Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP) and Authentication Header (AH)
RFC 4306 (obsoletes RFC 2407, RFC 2408, and RFC 2409): Internet Key Exchange (IKEv2) Protocol
RFC 4307: Cryptographic Algorithms for Use in the Internet Key Exchange Version 2 (IKEv2)
RFC 4308: Cryptographic Suites for IPsec
RFC 4309: Using Advanced Encryption Standard (AES) CCM Mode with IPsec Encapsulating Security Payload (ESP)
RFC 4478: Repeated Authentication in Internet Key Exchange (IKEv2) Protocol
RFC 4543: The Use of Galois Message Authentication Code (GMAC) in IPsec ESP and AH
RFC 4555: IKEv2 Mobility and Multihoming Protocol (MOBIKE)
RFC 4621: Design of the IKEv2 Mobility and Multihoming (MOBIKE) Protocol
RFC 4806: Online Certificate Status Protocol (OCSP) Extensions to IKEv2
RFC 4809: Requirements for an IPsec Certificate Management Profile
RFC 4835 (obsoletes RFC 4305): Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP) and Authentication Header (AH)