Aller au contenu principal

3.2. Comment fonctionne IPsec (How IPsec Works)

IPsec utilise deux protocoles pour fournir des services de sécurité du trafic -- l'en-tête d'authentification (Authentication Header, AH) et la charge utile de sécurité encapsulée (Encapsulating Security Payload, ESP). Les deux protocoles sont décrits en détail dans leurs RFC respectifs [Ken05b, Ken05a]. Les implémentations IPsec DOIVENT prendre en charge ESP et PEUVENT prendre en charge AH.

  • L'en-tête d'authentification IP (AH) [Ken05b] offre l'intégrité et l'authentification de l'origine des données, avec des fonctionnalités anti-rejeu optionnelles (à la discrétion du récepteur).

  • Le protocole de charge utile de sécurité encapsulée (ESP) [Ken05a] offre le même ensemble de services et offre également la confidentialité. L'utilisation d'ESP pour fournir la confidentialité sans intégrité n'est PAS RECOMMANDÉE (NOT RECOMMENDED).

  • AH et ESP offrent tous deux un contrôle d'accès, appliqué par la distribution de clés cryptographiques et la gestion des flux de trafic dictée par la base de données de politique de sécurité (SPD, section 4.4.1).

Ces protocoles peuvent être appliqués individuellement ou en combinaison les uns avec les autres pour fournir des services de sécurité IPv4 et IPv6. Cependant, la plupart des exigences de sécurité peuvent être satisfaites par l'utilisation d'ESP seul. Chaque protocole prend en charge deux modes d'utilisation: le mode transport et le mode tunnel. En mode transport, AH et ESP fournissent principalement une protection pour les protocoles de couche suivante; en mode tunnel, AH et ESP sont appliqués aux paquets IP tunnelisés.

IPsec permet à l'utilisateur (ou à l'administrateur système) de contrôler la granularité à laquelle un service de sécurité est offert. IPsec, à travers le paradigme de gestion SPD, intègre des facilités pour spécifier:

  • quel protocole de sécurité (AH ou ESP) employer, le mode (transport ou tunnel), les options de service de sécurité, quels algorithmes cryptographiques utiliser, et dans quelles combinaisons utiliser les protocoles et services spécifiés, et

  • la granularité à laquelle la protection doit être appliquée.

Étant donné que la plupart des services de sécurité fournis par IPsec nécessitent l'utilisation de clés cryptographiques, IPsec s'appuie sur un ensemble distinct de mécanismes pour mettre ces clés en place. Ce document exige la prise en charge de la distribution manuelle et automatisée des clés. Il spécifie une approche spécifique basée sur la clé publique (IKEv2 [Kau05]) pour la gestion automatique des clés, mais d'autres techniques de distribution automatique des clés PEUVENT être utilisées (MAY).

Note: Ce document impose la prise en charge de plusieurs fonctionnalités pour lesquelles la prise en charge est disponible dans IKEv2 mais pas dans IKEv1, par exemple, la négociation d'une SA représentant des plages de ports locaux et distants ou la négociation de plusieurs SA avec les mêmes sélecteurs. Par conséquent, ce document suppose l'utilisation d'IKEv2 ou d'un système de gestion des clés et des associations de sécurité avec des fonctionnalités comparables.

Dernière mise à jour le