Recherchez sur tout Techno-Science.net
       
Techno-Science.net : Suivez l'actualité des sciences et des technologies, découvrez, commentez
 A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | +
IPsec

IPSec (Internet Protocol Security) est un ensemble de protocoles (couche 3 modèle OSI) utilisant des algorithmes permettant le transport de données sécurisées sur un réseau IP.

Réalisé dans le but de fonctionner avec le protocole IPv6 (IPv6 (Internet Protocol version 6) est un protocole réseau sans connexion de la couche 3 du modèle OSI.), il fut adapté pour l'actuel protocole IP : IPv4 (L'Internet Protocol version 4 ou IPv4 est la première version d'IP à avoir été largement déployée, et forme encore la base (en 2007) de l'Internet. Elle...).

Son but est d'authentifier et de chiffrer les données : le flux (Le mot flux (du latin fluxus, écoulement) désigne en général un ensemble d'éléments (informations / données, énergie, matière, ...) évoluant...) ne pourra être compréhensible que par le destinataire final (chiffrement) et la modification des données (Dans les technologies de l'information (TI), une donnée est une description élémentaire, souvent codée, d'une chose, d'une transaction d'affaire, d'un événement, etc.) par des intermédiaires ne pourra être possible (intégrité).

IPsec (IPSec (Internet Protocol Security) est un ensemble de protocoles (couche 3 modèle OSI) utilisant des algorithmes permettant le transport de données sécurisées sur un réseau IP.) est souvent un composant de VPN, il est à l'origine de son aspect sécurité (canal sécurisé ou tunneling).

Lors de l'établissement d'une connexion IPsec, plusieurs opérations sont effectuées :

  • un canal d'échange de clés, sur une connexion UDP depuis et vers le port 500 (ISAKMP pour Internet Security Association and Key Management Protocol), défini dans la RFC 2408.

Le protocole IKE est en charge (La charge utile (payload en anglais ; la charge payante) représente ce qui est effectivement transporté par un moyen de transport donné, et qui donne lieu à un paiement ou un...) de négocier la connexion. Ce protocole permet deux types d'authentifications, PSK (Pre-Shared Key ou secret partagé) pour la génération de clefs de sessions ou à l'aide de certificats/signatures RSA

  • un ou plusieurs canaux de données par lesquels le trafic du réseau (Un réseau informatique est un ensemble d'équipements reliés entre eux pour échanger des informations. Par analogie avec un filet (un réseau est un « petit rets », c'est-à-dire un petit filet), on appelle nœud (node)...) privé est véhiculé, deux protocoles sont possibles :
    • le protocole n°50, ESP (Encapsulating Security Payload), défini dans la RFC 2406 qui fournit l' intégrité et la confidentialité
    • le protocole n°51, AH, (Authentication Header), défini dans la RFC 2402 et qui ne fournit que l'intégrité.

La mise en place d'une architecture (L’architecture peut se définir comme l’art de bâtir des édifices.) sécurisée à base d'IPsec est détaillée dans la RFC 2401.

Indépendamment des deux protocoles possibles AH/ESP, deux modes sont possibles, tunnel (Un tunnel est une galerie souterraine livrant passage à une voie de communication (chemin de fer, canal, route, chemin piétonnier). Sont apparentés aux tunnels par leur mode de construction les grands...) ou transport (Le transport est le fait de porter quelque chose, ou quelqu'un, d'un lieu à un autre, le plus souvent en utilisant des véhicules et des voies de communications (la route,...). Dans le cadre du mode transport, on peut choisir le protocole AH, ESP ou les deux. Dans le cadre du mode tunnel, on doit choisir entre le protocole AH ou ESP. Ce mode crée un nouveau paquet IP encapsulant celui qui doit être transporté.

Description des paquets

Authentication Header (AH)

Un paquet AH se présente comme suit :

0 1 2 3
0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7
Entête suivant Taille Réservé
Index du paramètre (Un paramètre est au sens large un élément d'information à prendre en compte pour prendre une décision ou pour effectuer un calcul.) de sécurité (SPI)
Numéro de séquence

Données d'authentification (L'authentification est la procédure qui consiste, pour un système informatique, à vérifier l'identité d'une entité (personne, ordinateur...), afin d'autoriser l'accès de cette...) (variable)

Significations :

Entête suivant 
identifie le protocole utilisé pour le transfert
Taille 
taille du paquet AH
Réservé 
champ (Un champ correspond à une notion d'espace défini:) à zéro (Le chiffre zéro (de l’italien zero, dérivé de l’arabe sifr, d’abord transcrit zefiro en italien) est un symbole marquant une position vide...) (pour une utilisation future)
Index du paramètre de sécurité (SPI) 
identifie les paramètres de sécurité en fonction de l'adresse IP (Une adresse IP (avec IP pour Internet Protocol) est le numéro qui identifie chaque ordinateur connecté à Internet, ou plus généralement et...)
Numéro de séquence 
un compteur qui évite les attaques par répétition
Données d'authentification 
contient les informations nécessaires pour authentifier le paquet

Encapsulated Security Payload (ESP)

Un paquet ESP se présente comme suit :

0 1 2 3
0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7
Index du paramètre de sécurité (SPI)
Numéro de séquence

Données attachées * (variable)

  Remplissage (0-255 octets)
    Longueur (La longueur d’un objet est la distance entre ses deux extrémités les plus éloignées. Lorsque l’objet est filiforme ou en forme de lacet, sa longueur est celle de l’objet...) du remplissage Entête suivant

Données d'authentification (variable)

Significations :

Index du paramètre de sécurité (SPI) 
identifie les paramètres de sécurité en fonction de l'adresse (Les adresses forment une notion importante en communication, elles permettent à une entité de s'adresser à une autre parmi un ensemble d'entités. Pour qu'il n'y ait pas d'ambiguïté, chaque adresse doit correspondre à une unique entité, une...) IP
Numéro de séquence 
un compteur qui évite les attaques par répétition
Données attachées 
les données à transférer
Remplissage 
permet d'obtenir une taille de bloc compatible avec le chiffrement (En cryptographie, le chiffrement (parfois appelé à tort cryptage) est le procédé grâce auquel on peut rendre la compréhension d'un document...)
Longueur du remplissage 
exprimée en bits
Entête suivant 
identifie le protocole utilisé pour le transfert
Données d'authentification 
contient les informations nécessaires pour authentifier le paquet
Source: Wikipédia publiée sous licence CC-BY-SA 3.0.

Vous pouvez soumettre une modification à cette définition sur cette page. La liste des auteurs de cet article est disponible ici.