Aller au contenu principal

3.3. Où IPsec peut être implémenté (Where IPsec Can Be Implemented)

Il existe de nombreuses façons dont IPsec peut être implémenté dans un hôte, ou en conjonction avec un routeur ou un pare-feu pour créer une passerelle de sécurité, ou en tant que dispositif de sécurité indépendant.

Approches d'implémentation

a. Intégration de la pile IP native

IPsec peut être intégré dans la pile IP native. Cela nécessite un accès au code source IP et est applicable aux hôtes et aux passerelles de sécurité, bien que les implémentations d'hôtes natifs bénéficient le plus de cette stratégie.

b. Bump-in-the-Stack (BITS)

Dans une implémentation "bump-in-the-stack" (BITS), IPsec est implémenté "en dessous" d'une implémentation existante d'une pile de protocoles IP, entre l'IP natif et les pilotes de réseau locaux. L'accès au code source pour la pile IP n'est pas requis dans ce contexte, ce qui rend cette approche d'implémentation appropriée pour une utilisation avec des systèmes hérités.

c. Bump-in-the-Wire (BITW)

L'utilisation d'un processeur de protocole de sécurité en ligne dédié est une caractéristique de conception courante des systèmes utilisés par les militaires et de certains systèmes commerciaux également. Il est parfois appelé implémentation "bump-in-the-wire" (BITW). De telles implémentations peuvent être conçues pour servir soit un hôte, soit une passerelle.

Flexibilité de l'implémentation

Ce document parle souvent en termes d'utilisation d'IPsec par un hôte ou une passerelle de sécurité, sans tenir compte du fait que l'implémentation soit native, BITS ou BITW. Lorsque les distinctions entre ces options d'implémentation sont significatives, le document fait référence à des approches d'implémentation spécifiques.

Une implémentation hôte d'IPsec peut apparaître dans des dispositifs qui pourraient ne pas être considérés comme des "hôtes". Par exemple, un routeur pourrait employer IPsec pour protéger les protocoles de routage (par exemple, BGP) et les fonctions de gestion (par exemple, Telnet), sans affecter le trafic des abonnés traversant le routeur. L'architecture décrite dans ce document est très flexible.

Dernière mise à jour le