Aller au contenu principal

4.2. Fonctionnalité SA (SA Functionality)

L'ensemble des services de sécurité offerts par une SA dépend du protocole de sécurité sélectionné, du mode SA, des points d'extrémité de la SA et du choix des services optionnels au sein du protocole.

Par exemple, AH et ESP offrent tous deux des services d'intégrité et d'authentification, mais la couverture diffère pour chaque protocole et diffère pour le mode transport par rapport au mode tunnel. Si l'intégrité d'une option IPv4 ou d'un en-tête d'extension IPv6 doit être protégée en route entre l'expéditeur et le récepteur, AH peut fournir ce service, à l'exception des en-têtes IP ou d'extension qui peuvent changer d'une manière imprévisible par l'expéditeur. Cependant, la même sécurité peut être obtenue dans certains contextes en appliquant ESP à un tunnel transportant un paquet.

La granularité du contrôle d'accès fourni est déterminée par le choix des sélecteurs qui définissent chaque SA. De plus, les moyens d'authentification employés par les pairs IPsec, par exemple, lors de la création d'une SA IKE (par opposition à une SA enfant) affectent également la granularité du contrôle d'accès offert.

Confidentialité du flux de trafic

Si la confidentialité est sélectionnée, alors une SA ESP (mode tunnel) entre deux passerelles de sécurité peut offrir une confidentialité partielle du flux de trafic. L'utilisation du mode tunnel permet de chiffrer les en-têtes IP internes, dissimulant les identités de la source et de la destination (ultimes) du trafic. De plus, le remplissage de la charge utile ESP peut également être invoqué pour masquer la taille des paquets, dissimulant davantage les caractéristiques externes du trafic. Des services de confidentialité du flux de trafic similaires peuvent être offerts lorsqu'un utilisateur mobile se voit attribuer une adresse IP dynamique dans un contexte d'appel et établit une SA ESP (mode tunnel) vers un pare-feu d'entreprise (agissant comme passerelle de sécurité). Notez que les SA à granularité fine sont généralement plus vulnérables à l'analyse du trafic que les SA à granularité grossière qui transportent du trafic provenant de nombreux abonnés.

Note: Une implémentation conforme NE DOIT PAS (MUST NOT) permettre l'instanciation d'une SA ESP qui utilise à la fois le chiffrement NULL et aucun algorithme d'intégrité. Une tentative de négociation d'une telle SA est un événement auditable par l'initiateur et le répondeur. L'entrée du journal d'audit pour cet événement DEVRAIT (SHOULD) inclure la date/heure actuelle, l'adresse IP IKE locale et l'adresse IP IKE distante. L'initiateur DEVRAIT (SHOULD) enregistrer l'entrée SPD pertinente.

Dernière mise à jour le