Aller au contenu principal

9.2. Tunnels IPsec (IPsec Tunnels)

IPsec prend en charge la communication sécurisée via des composants de réseau potentiellement non sécurisés (tels que les routeurs intermédiaires). Les protocoles IPsec prennent en charge deux modes de fonctionnement, le mode transport (transport mode) et le mode tunnel (tunnel mode), couvrant une large gamme d'exigences de sécurité et d'environnements opérationnels. Les en-têtes de protocole de sécurité en mode transport sont insérés entre l'en-tête IP (IPv4 ou IPv6) et les en-têtes de protocole de niveau supérieur (par exemple TCP), de sorte que le mode transport ne peut être utilisé que pour la sécurité de bout en bout sur une connexion. Le mode tunnel IPsec est basé sur l'ajout d'un nouvel en-tête IP "externe" qui encapsule l'en-tête IP "intérieur" ou original et son paquet associé. Les en-têtes de sécurité en mode tunnel sont insérés entre ces deux en-têtes IP. Contrairement au mode transport, le nouvel en-tête IP "externe" et l'en-tête de sécurité en mode tunnel peuvent être ajoutés et supprimés à des points intermédiaires le long de la connexion, permettant aux passerelles de sécurité de protéger les portions vulnérables d'une connexion sans nécessiter la participation des points de terminaison au protocole de sécurité. Un aspect important de la sécurité en mode tunnel est que, dans les spécifications originales, l'en-tête externe est jeté à la sortie du tunnel, garantissant que les menaces de sécurité basées sur la modification de l'en-tête IP ne se propagent pas au-delà de ce point de terminaison de tunnel. Une discussion plus approfondie d'IPsec peut être trouvée dans [RFC2401].

Les protocoles IPsec définis à l'origine dans [ESP, AH] exigeaient que le champ ECN de l'en-tête intérieur ne soit pas modifié par le traitement de décapsulation IPsec au nœud de sortie du tunnel ; cela exclurait la possibilité du mode de fonctionnalité complète pour ECN. En même temps, cela garantirait que les modifications du champ ECN par un adversaire ne pourraient pas être utilisées pour initier des attaques de vol ou de déni de service à travers les points de terminaison du tunnel IPsec, car toutes ces modifications seraient jetées aux points de terminaison du tunnel.

En principe, permettre l'utilisation de la fonctionnalité ECN dans l'en-tête externe d'un tunnel IPsec pose des problèmes de sécurité car un adversaire pourrait falsifier les informations qui se propagent au-delà des points de terminaison du tunnel. Sur la base de l'analyse de ces problèmes et des risques associés (contenus dans les sections 18 et 19), notre approche globale est de fournir un support de configuration pour que les modifications IPsec éliminent le conflit avec ECN.

En particulier, en mode tunnel, les tunnels IPsec DOIVENT prendre en charge l'option de fonctionnalité limitée décrite dans la section 9.1.1, et DEVRAIENT prendre en charge l'option de fonctionnalité complète décrite dans la section 9.1.1.

Cela fait de l'autorisation d'utiliser la fonctionnalité ECN dans l'en-tête externe d'un tunnel IPsec une partie configurable de l'Association de Sécurité (Security Association, SA) IPsec correspondante, de sorte qu'elle peut être désactivée dans les cas où les risques sont jugés supérieurs aux avantages. Le résultat est que les administrateurs de sécurité IPsec peuvent fournir deux alternatives pour le comportement des connexions compatibles ECN dans les tunnels IPsec, à savoir l'alternative de fonctionnalité limitée et l'alternative de fonctionnalité complète décrites précédemment.

De plus, ce document spécifie comment les points de terminaison d'un tunnel IPsec peuvent négocier sur la base de la politique de sécurité l'activation de la fonctionnalité ECN dans l'en-tête externe de ce tunnel. La capacité à négocier l'utilisation d'ECN entre les points de terminaison du tunnel permettra aux administrateurs de sécurité de désactiver ECN dans les cas où elle juge que les risques (par exemple, le risque de perte de notification de congestion) dépassent les avantages d'ECN.

Les protocoles IPsec tels que définis dans [ESP, AH] n'incluent pas le champ ECN de l'en-tête IP (dans le cas du mode tunnel, le champ ECN de l'en-tête IP externe) dans l'un de leurs calculs cryptographiques. Par conséquent, les modifications du champ ECN par les nœuds de réseau n'ont aucun impact sur la sécurité de bout en bout d'IPsec car elles n'entraînent l'échec d'aucun contrôle d'intégrité IPsec. IPsec ne fournit donc aucune défense contre les modifications du champ ECN par un adversaire (c'est-à-dire les attaques de l'homme du milieu), car les modifications de l'adversaire n'ont également aucun impact sur la sécurité de bout en bout d'IPsec. Dans certains environnements, la capacité à modifier le champ ECN sans affecter les contrôles d'intégrité IPsec peut constituer un canal caché ; s'il est nécessaire d'éliminer un tel canal ou de réduire sa bande passante, les tunnels IPsec DEVRAIENT être exploités en mode de fonctionnalité limitée.