Aller au contenu principal

5. Traitement du Trafic IP (IP Traffic Processing)

Comme mentionné dans la Section 4.4.1, "La Base de Données de Politique de Sécurité (SPD)", la SPD (ou les caches associés) DOIT être consultée lors du traitement de tout trafic qui traverse la frontière de protection IPsec, y compris le trafic de gestion IPsec. Si aucune politique n'est trouvée dans la SPD qui correspond à un paquet (pour le trafic entrant ou sortant), le paquet DOIT être rejeté.

Pour simplifier le traitement et permettre des recherches SA très rapides (pour SG/BITS/BITW), ce document introduit la notion de cache SPD pour tout le trafic sortant (SPD-O plus SPD-S), et un cache pour le trafic entrant non protégé par IPsec (SPD-I).

5.1. Traitement du Trafic IP Sortant (Outbound IP Traffic Processing)

Considérez d'abord le chemin pour le trafic entrant dans l'implémentation via une interface protégée et sortant via une interface non protégée.

IPsec DOIT effectuer les étapes suivantes lors du traitement des paquets sortants:

  1. Lorsqu'un paquet arrive de l'interface abonné (protégée), invoquer la fonction de sélection SPD pour obtenir le SPD-ID nécessaire pour choisir la SPD appropriée.

  2. Faire correspondre les en-têtes de paquet avec le cache pour la SPD spécifiée par le SPD-ID de l'étape 1.

3a. S'il y a une correspondance, traiter le paquet comme spécifié par l'entrée de cache correspondante, c'est-à-dire BYPASS, DISCARD ou PROTECT en utilisant AH ou ESP.

3b. Si aucune correspondance n'est trouvée dans le cache, rechercher dans la SPD (parties SPD-S et SPD-O) spécifiée par SPD-ID.

  1. Le paquet est transmis à la fonction de transfert sortante pour sélectionner l'interface vers laquelle le paquet sera dirigé.

5.1.1. Traitement d'un Paquet Sortant Qui Doit Être Rejeté

Si un système IPsec reçoit un paquet sortant qu'il doit rejeter, il DEVRAIT être capable de générer et d'envoyer un message ICMP pour l'indiquer à la source.

5.1.2. Construction d'En-tête pour le Mode Tunnel

Cette section décrit le traitement des champs dans l'en-tête IP externe pour les SA en mode tunnel.

5.1.2.1. IPv4: Construction d'En-tête pour le Mode Tunnel

Lorsqu'un datagramme IPv4 est encapsulé pour la transmission en mode tunnel, l'en-tête IP externe comprend les champs suivants:

  • Version: 4
  • IHL (Longueur d'En-tête Internet): Typiquement 5, sauf si des options sont présentes
  • Type de Service (TOS): Voir le mappage de classe de trafic ci-dessous
  • Longueur Totale: Longueur du datagramme IP entier
  • TTL (Time to Live): Valeur configurable
  • Protocole: AH (51) ou ESP (50)

5.1.2.2. IPv6: Construction d'En-tête pour le Mode Tunnel

Lorsqu'un datagramme IPv6 est encapsulé pour la transmission en mode tunnel, l'en-tête IP externe comprend les champs suivants:

  • Version: 6
  • Classe de Trafic (Traffic Class): Voir le mappage de classe de trafic ci-dessous
  • Étiquette de Flux (Flow Label): Configurable
  • En-tête Suivant (Next Header): AH (51) ou ESP (50)

5.2. Traitement du Trafic IP Entrant

Plusieurs chemins existent pour le traitement entrant du trafic IP.

5.2.1. Non-Protégé vers Protégé

Cette section décrit le traitement du trafic arrivant sur une interface non protégée et destiné à une interface protégée. IPsec DOIT effectuer les étapes suivantes:

  1. Traitement IPsec: Si le paquet est un paquet IPsec (AH ou ESP), effectuer le traitement IPsec en utilisant l'entrée SAD sélectionnée par le SPI.

  2. Vérification du Sélecteur: Si le paquet est arrivé sur une SA, vérifier que les sélecteurs du paquet correspondent aux sélecteurs de la SA.

  3. Recherche SPD: Rechercher les sélecteurs du paquet dans la SPD appropriée (SPD-I).

  4. Transfert: Si le paquet a passé toutes les vérifications, le transférer vers l'interface protégée appropriée.

5.2.2. Protégé vers Protégé ou Protégé vers Non-Protégé

Le trafic provenant d'une interface protégée est traité de manière similaire au trafic sortant décrit dans la Section 5.1.

Sections Connexes:

Dernière mise à jour le