Aller au contenu principal

3.1. ESP Header Location (Emplacement de l'en-tête ESP)

3.1. ESP Header Location (Emplacement de l'en-tête ESP)

ESP peut être utilisé de deux manières: mode transport ou mode tunnel.

3.1.1. Transport Mode Processing (Traitement en mode transport)

En mode transport, ESP est inséré après l'en-tête IP et avant un protocole de couche suivante, par exemple TCP, UDP, ICMP, etc. Dans le contexte d'IPv4, cela se traduit par le placement d'ESP après l'en-tête IP (et toutes les options qu'il contient), mais avant le protocole de couche suivante. (Si AH est également appliqué à un paquet, il est appliqué à l'en-tête ESP, à la charge utile, au trailer ESP et à l'ICV, s'ils sont présents.) (Notez que le terme mode «transport» ne doit pas être mal interprété comme restreignant son utilisation à TCP et UDP.) Le diagramme suivant illustre le positionnement du mode transport ESP pour un paquet IPv4 typique, sur une base «avant et après». (Ce diagramme et les diagrammes suivants de cette section montrent le champ ICV, dont la présence est une fonction des services de sécurité et de l'algorithme/mode sélectionné.)

               AVANT D'APPLIQUER ESP
          ----------------------------
    IPv4  |orig IP hdr  |     |      |
          |(any options)| TCP | Data |
          ----------------------------

               APRÈS APPLICATION D'ESP
          -------------------------------------------------
    IPv4  |orig IP hdr  | ESP |     |      |   ESP   | ESP|
          |(any options)| Hdr | TCP | Data | Trailer | ICV|
          -------------------------------------------------
                              |<---- encryption ---->|
                        |<-------- integrity ------->|

Dans le contexte IPv6, ESP est considéré comme une charge utile de bout en bout, et devrait donc apparaître après les en-têtes d'extension saut par saut, de routage et de fragmentation. Les en-têtes d'extension d'options de destination pourraient apparaître avant, après, ou à la fois avant et après l'en-tête ESP selon la sémantique souhaitée. Cependant, comme ESP ne protège que les champs après l'en-tête ESP, il sera généralement souhaitable de placer les en-têtes d'options de destination après l'en-tête ESP. Le diagramme suivant illustre le positionnement du mode transport ESP pour un paquet IPv6 typique.

                   AVANT D'APPLIQUER ESP
          ---------------------------------------
    IPv6  |             | ext hdrs |     |      |
          | orig IP hdr |if present| TCP | Data |
          ---------------------------------------

                   APRÈS APPLICATION D'ESP
          ---------------------------------------------------------
    IPv6  | orig |hop-by-hop,dest*,|   |dest|   |    | ESP   | ESP|
          |IP hdr|routing,fragment.|ESP|opt*|TCP|Data|Trailer| ICV|
          ---------------------------------------------------------
                                       |<--- encryption ---->|
                                   |<------ integrity ------>|

              * = si présent, peut être avant ESP, après ESP, ou les deux

Notez qu'en mode transport, pour les implémentations «bump-in-the-stack» ou «bump-in-the-wire», telles que définies dans le document d'architecture de sécurité, les fragments IP entrants et sortants peuvent nécessiter qu'une implémentation IPsec effectue un réassemblage/fragmentation IP supplémentaire afin de se conformer à cette spécification et de fournir un support IPsec transparent. Un soin particulier est nécessaire pour effectuer de telles opérations au sein de ces implémentations lorsque plusieurs interfaces sont utilisées.

3.1.2. Tunnel Mode Processing (Traitement en mode tunnel)

En mode tunnel, l'en-tête IP «interne» porte les adresses source et destination (IP) ultimes, tandis qu'un en-tête IP «externe» contient les adresses des «pairs» IPsec, par exemple les adresses des passerelles de sécurité. Les versions IP internes et externes mixtes sont autorisées, c'est-à-dire IPv6 sur IPv4 et IPv4 sur IPv6. En mode tunnel, ESP protège l'intégralité du paquet IP interne, y compris l'intégralité de l'en-tête IP interne. La position d'ESP en mode tunnel, par rapport à l'en-tête IP externe, est la même que pour ESP en mode transport. Le diagramme suivant illustre le positionnement du mode tunnel ESP pour des paquets IPv4 et IPv6 typiques.

              AVANT D'APPLIQUER ESP
         ----------------------------
   IPv4  |orig IP hdr  |     |      |
         |(any options)| TCP | Data |
         ----------------------------

              APRÈS APPLICATION D'ESP

         -----------------------------------------------------------
   IPv4  | new IP hdr* |     | orig IP hdr*  |   |    | ESP   | ESP|
         |(any options)| ESP | (any options) |TCP|Data|Trailer| ICV|
         -----------------------------------------------------------
                             |<--------- encryption --------->|
                       |<------------- integrity ------------>|


                   AVANT D'APPLIQUER ESP
         ---------------------------------------
   IPv6  |             | ext hdrs |     |      |
         | orig IP hdr |if present| TCP | Data |
         ---------------------------------------

                  APRÈS APPLICATION D'ESP

         ------------------------------------------------------------
   IPv6  | new* |new ext |   | orig*|orig ext |   |    | ESP   | ESP|
         |IP hdr| hdrs*  |ESP|IP hdr| hdrs *  |TCP|Data|Trailer| ICV|
         ------------------------------------------------------------
                             |<--------- encryption ---------->|
                         |<------------ integrity ------------>|

         * = si présent, la construction de l'en-tête/extensions IP externe et
             la modification de l'en-tête/extensions IP interne sont discutées
             dans le document d'architecture de sécurité.
Dernière mise à jour le