Aller au contenu principal

3.1. Ce que fait IPsec (What IPsec Does)

IPsec crée une frontière entre les interfaces non protégées et protégées, pour un hôte ou un réseau (voir figure 1 ci-dessous). Le trafic traversant la frontière est soumis aux contrôles d'accès spécifiés par l'utilisateur ou l'administrateur responsable de la configuration IPsec. Ces contrôles indiquent si les paquets traversent la frontière sans entrave, bénéficient de services de sécurité via AH ou ESP, ou sont abandonnés.

Les services de sécurité IPsec sont offerts au niveau de la couche IP grâce à la sélection de protocoles de sécurité appropriés, d'algorithmes cryptographiques et de clés cryptographiques. IPsec peut être utilisé pour protéger un ou plusieurs "chemins" (a) entre une paire d'hôtes, (b) entre une paire de passerelles de sécurité, ou (c) entre une passerelle de sécurité et un hôte. Une implémentation d'hôte conforme DOIT prendre en charge (a) et (c) et une passerelle de sécurité conforme doit prendre en charge ces trois formes de connectivité, car dans certaines circonstances, une passerelle de sécurité agit comme un hôte.

                    Non protégé (Unprotected)
                     ^       ^
                     |       |
       +-------------|-------|-------+
       | +-------+   |       |       |
       | |Rejeter|<--|       V       |
       | |Discard|   |B  +--------+  |
     ................|y..| AH/ESP |..... Frontière IPsec
       |   +---+     |p  +--------+  |
       |   |IKE|<----|a      ^       |
       |   +---+     |s      |       |
       | +-------+   |s      |       |
       | |Rejeter|<--|       |       |
       | |Discard|   |       |       |
       +-------------|-------|-------+
                     |       |
                     V       V
                     Protégé (Protected)

        Figure 1.  Modèle de traitement IPsec de niveau supérieur

Dans ce diagramme, "non protégé" fait référence à une interface qui pourrait également être décrite comme "noire" ou "texte chiffré". Ici, "protégé" fait référence à une interface qui pourrait également être décrite comme "rouge" ou "texte en clair". L'interface protégée notée ci-dessus peut être interne, par exemple, dans une implémentation hôte d'IPsec, l'interface protégée peut être liée à une interface de couche socket présentée par le système d'exploitation. Dans ce document, le terme "entrant" fait référence au trafic entrant dans une implémentation IPsec via l'interface non protégée ou émis par l'implémentation du côté non protégé de la frontière et dirigé vers l'interface protégée. Le terme "sortant" fait référence au trafic entrant dans l'implémentation via l'interface protégée, ou émis par l'implémentation du côté protégé de la frontière et dirigé vers l'interface non protégée. Une implémentation IPsec peut prendre en charge plusieurs interfaces d'un côté ou des deux côtés de la frontière.

Notez les facilités pour rejeter le trafic de chaque côté de la frontière IPsec, la facilité BYPASS qui permet au trafic de transiter par la frontière sans protection cryptographique, et la référence à IKE en tant que fonction de gestion des clés et de la sécurité du côté protégé.

IPsec prend en charge de manière optionnelle la négociation de la compression IP [SMPT01], motivée en partie par l'observation que lorsque le chiffrement est utilisé dans IPsec, il empêche une compression efficace par les couches de protocole inférieures.

Dernière mise à jour le