P. 1
Nouvelles Technologies IP IPv4 IPv6 IPsec

Nouvelles Technologies IP IPv4 IPv6 IPsec

|Views: 15|Likes:
Published by Anwar El Alaoui

More info:

Published by: Anwar El Alaoui on Dec 23, 2012
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

12/09/2013

pdf

text

original

Nouvelles Technologies IP 2ème Partie : IPv4 IPv6 IPsec

Sommaire
   

IPv4 IPv6 IPsec Exercices

IPv4

IPv4
Internet Protocol version 4 ( IPv4 ) est la quatrième révision dans le développement de l’internet protocol ( IP ) et la 1ère version du protocole à être largement déployée . En collaboration avec IPv6 , il est au cœur des méthodes d’interconnexion de réseaux basés sur les standards de l’internet . Jusqu’à nos jours IPv4 est encore la plus largement déployé dans les protocoles couche internet .

IPv4
IPv4 est un protocole utilisé dans la commutation par paquets de la couche liaison ( Exple : Ethernet ) IPv4 utilise 32 bits soit quatre octets ce qui limite l’espace d’adressage de 4 294 967 296 adresses. Cette limitation de l’IPv4 a stimulé le développement de l’IPv6 dans les années 1990 .

IPv4
Nombre d'hotes répertorié dans le DNS 500 450 400 350 300 250 200 150 100 50 0 1992

extrapolation

millions

1994

1996

1998

2000

2002

2004

2006

2008

IPv4
Allocation: A L’origine une adresse IP a été divisée en deux parties une partie identifiant le réseau auquel est connecté l’ordinateur : @ Réseau et une partie identifiant de l’hôte: @ IP = ( @ Réseau , @ Hôte) Cela a permis la création d’un maximum de 256 réseaux . Il a rapidement été jugée insuffisant.

IPv4
Pour surmonter cette limite , l’octet de poids fort de l’adresse a été redéfini afin de créer un ensemble de classes de réseaux : Réseau basé sur les classes . Le système définit cinq classes ( A,B,C,D & E ) . Les Classes A , B & C ont des longueurs différentes de bits pour l’identification du nouveau réseau , le reste de l’@ pour identifier un hôte dans un réseau. La classe D  @ Multidestinataires ( Multicast ) La classe E  Réservée pour des futures applications

Adressage IP : Classes d'adresses
0 8 16 24 31

Classe A Classe B

0 Réseau-id 10

Station-id Station-id

Réseau-id

Classe C 1 1 0 Classe D 1 1 1 0 Classe E
11110

Réseau-id
Multicast Réservé

Station-id

Ipv4
Les réseaux privés:

Sur les quatre milliards d’adresses IPv4 autorisées , certains sont réservées pour une utilisation dans les réseaux privés. Dans ces plages ,les adresses ne sont pas routables en dehors des réseaux privés et les machines privées ne peuvent pas communiquer directement avec les réseaux publics . Ils peuvent , toutefois , le faire à travers la traduction d’adresse réseau

IPv4
Les Réseaux privés virtuels :

Les paquets avec une adresse de destination privée sont ignorés par tous les routeurs publiques .
Deux réseaux privés ne peuvent pas communiquer via l’internet publique , sauf s’ils utilisent un tunnel IP ou un réseau privé virtuel VPN . Lorsqu’un réseau privé veut envoyer un paquet à un autre réseau privé le 1er encapsule le paquet dans une couche de protocole afin que le paquet puisse voyager à travers le réseau public. Lorsque le paquet atteint l’autre réseau privé , la couche de protocole est retirée et le paquet arrive à sa destination

IPv4
Bouclage: Le réseau de classe A 127.0.0.0 est réservé pour le bouclage . Tests interprocessus sur une même machine @ n’est jamais transmise sur le réseau appelée aussi Loop Back @

IPv4
Epuisement de l’espace d’adresses : Depuis les années 1980 , il était évident que l’espace des adresses IPv4 disponible va s’épuiser à un rythme qui n’était pas prévu dans la conception initiale du système d’adresse réseau. La menace d’épuisement était la motivation des technologies d’assainissement tels que : _ Les réseaux basés sur les classes _ Les méthodes traduction d’adresses réseau ( NAT ) :
Technologie permettant à un réseau privé d’utiliser @ IP publique.

_ IPv6

Epuisement des @ IPv4 depuis 1995

Distribution de l’espace adressage IPv4

Distribution de l'espace d'adressage IPv4. Le 3 février 2011, il ne reste plus aucun bloc d'adresses libre.

IPv4
Plusieurs forces du marché ont accéléré l’épuisement des adresses IPv4: _ Croissance rapide des utilisateurs d’internet _ ADSL _ Appareils mobiles : ordinateurs portables , PDA ,téléphones mobiles

IPv4
Certaines technologies ont accentuées l’épuisement des adresses IPv4 : _ Traduction adresse Réseau NAT _ Utilisation des réseaux privés _ DHCP Dynamic Host configuration Protocol _ Hébergement virtuel de sites Web

IPv4
La solution retenue consiste à utiliser IPv6 . La taille d’adresses a été augmentée jusqu’à 128 bits offrant ainsi un espace d’adressage considérablement accru.

La migration vers IPv6 est en cours , mais l’achèvement est prévu de prendre un temps considérable.

IPv6

IPv6
 IPv6 est la révision la plus récente de l’internet

protocol IP . IPv6 est destiné à remplacer les anciens IPv4 qui est toujours à l’emploi pour la grande majorité du trafic internet jusqu’à nos jours.

IPv6 met en œuvre un nouveau système d’adresses IP qui permet beaucoup plus d’adresses attribuées avec IPv4 , mais les deux protocoles ne sont pas compatibles , ce qui rend le passage compliqué.

IPv6


L’intégration des données , voix , audio & vidéo est maintenant une réalité Les organismes de distribution des @IP appliquent un contrôle très sévère. Les pays émergeants demandent des @ IP : Chine , Inde , Japon , Korée demandent un plan d’adressage IP global

IPv6
Chaque périphérique sur internet ( ordinateur téléphone mobile ,….) a besoin d’une @IP pour communiquer avec d’autres périphériques . Avec le nombre croissant de nouveaux périphériques , il y a un besoin de plus en plus d’@ . Les adresses IPv6 utilisent 128 bits par conséquent 3,4 1038 adresses.

IPv6
Les @ IPv6 , couramment affichées aux utilisateurs comportent huit groupes de quatre chiffres hexadécimaux séparées par le signe : Par exemple : 2012:0BE6:EA09:110C:F345:768D:8AE1:009E

Attribution @ IPv6
Construction d'une adresse IPv6 modifiée à partir d'une adresse MAC : (Media Access Control) est un identifiant physique stocké dans une carte réseau ou une interface réseau similaire Adresse MAC :

Bit 6 à1 U/L=1

Insertion de 2 Octets

IPv6
Il est permis d'omettre de 1 à 3 chiffres zéros non significatifs dans chaque groupe de 4 chiffres hexadécimaux. Ainsi, l'adresse IPv6 2001:0db8:0000:85a3:0000:0000:ac1f:8001 est = 2001:db8 :0 :85a3:0 :0 :ac1f:8001 De plus, une unique suite de un ou plusieurs groupes consécutifs de 16 bits tous nuls peut être omise, en conservant toutefois les signes deux-points de chaque côté de la suite de chiffres omise, c'est-à-dire une paire de deux-points . Ainsi, l'adresse IPv6 ci-dessus peut être abrégée en : 2001:db8:0:85a3::ac1f:8001

Attribution @ IPv6
L'utilisation de l'adresse MAC d'une carte réseau pour construire une adresse IPv6 a suscité des inquiétudes quant à la protection des données personnelles dans la mesure où l'adresse MAC permet d'identifier de façon unique le matériel. Pour pallier cet inconvénient, il est possible d'utiliser des adresses temporaires générées de façon pseudo-aléatoire et modifiées régulièrement (RFC 4941) ou bien d'utiliser un service d'attribution automatique des adresses IPv6 par un serveur, de façon similaire à ce qui existe pour IPv4, avec DHCPv6.

IPv6
Le déploiement du protocole IPv6 s’accélère , avec un monde IPv6 lancement à partir du 6 juin 2012 . Les hôtes IPv6 peuvent configurer eux-mêmes automatiquement lorsqu’ils sont connecté à un réseau IPv6 routé via le protocole de découverte de voisin via des messages de découverte de routeur Internet Control Message Protocol version 6 ICMPv6

IPv6 Avantages IPv6/IPv4: _ Plus grand espace d’adressage, _ Sécurité de la couche réseau : Sécurité du protocole internet IPsec a été initialement développé pour IPv6 _ Simplification de traitement des routeurs : Dans IPv6 l’en-tête de paquet et le processus de transfert des paquets ont été simplifiés et le traitement est devenu plus efficace.

IPv6 _ Mobilité : contrairement à IPv4 , IPv6 Mobile évite le routage triangulaire et est donc plus efficace, _ Extensions des options : Les extensions des en-têtes ( 40 octets ) rend le protocole extensible permettant ainsi aux futurs services , une sécurité , une mobilité et d’autres _ Des mécanismes de configuration et de renumérotation automatique

En-tête @IPv6
L'en-tête du paquet IPv6 est de taille fixe à 40 octets, tandis qu'en IPv4 la taille minimale est de 20 octets, des options pouvant la porter jusqu'à 60 octets, ces options demeurant rares en pratique. Il est possible qu'un ou plusieurs en-têtes d'extension suivent l'en-tête IPv6. L'en-tête de routage permet par exemple à la source de spécifier un chemin déterminé à suivre.

En-tête IPv6

En-tête @IPv6
La signification des champs est la suivante :
Version (4 bits) : fixé à la valeur du numéro de protocole internet, 6 Traffic Class (8 bits) : utilisé dans la qualité de service. Flow Label (20 bits) : permet le marquage d'un flux pour un traitement différencié dans le réseau. Payload length (16 bits) : taille de la charge utile en octets. Next Header (8 bits) : identifie le type de header qui suit immédiatement selon la même convention qu'IPv4. Hop Limit (8 bits) : décrémenté de 1 par chaque routeur, le paquet est détruit si ce champ atteint 0 en transit. Source Address (128 bits) : adresse source Destination Address (128 bits) : adresse destination.

Exercice 1
Simplifier l’écriture de cette @ 2012:0db7:0000:0000:0000:E900:0043:1234

Simplifier l’écriture de cette @ 0000:0000:0000:0000:0000:0000:0000:0001

Réponse 1
Simplification de l’écriture de cette @ 2012:0db7:0000:0000:0000:E900:0043:1234 2012:DB7::E900:43:1234

Simplification de l’écriture de cette @ 0000:0000:0000:0000:0000:0000:0000:0001 ::1

Exercice 2
Soit l’@ MAC suivante : 0060.3E47.1530 Ecrire l’@ équivalente IPv6 et simplifier là

Réponse 2
Soit l’@ MAC suivante : 0060.3E47.1530 02.60.3E.FF.FE.47.15.30 Global unicast adresse : 2001:0410:0213:0001:0260:3EFF:FE47:1530 Simplification : 2001:410:213:1:260:3EFF:FE47:1530

IPsec

IPsec
IPSec (Internet Protocol Security, RFC 2401) est un protocole de la couche 3 du modèle OSI, tout comme IP; il fut à l'origine développé dans le cadre de la version future de ce dernier protocole, à savoir IPv6. Or, si IPSec existe depuis quelques temps déjà, IPv6 n'est quant à lui pas encore déployé à grande échelle, ce qui aurait put empêcher l'utilisation d'IPSec. Mais il n'en est rien puisque ce dernier a été porté vers la version actuelle d'IP (IPv4) et est maintenant disponible pour tous (les plus récents patches sécurité de Windows 2000 l'incluent, et des distributions libres comme FreeSwan pour Linux existent également).

IPsec
Certains autres systèmes de sécurité Internet largement utilisés, tels que Secure Sockets Layer (SSL), Transport Layer Security (TLS) et Secure Shell (SSH), fonctionnent dans les couches supérieures du modèle TCP/IP. Avant , l'utilisation de TLS/SSL devait être intégrée dans une application pour protéger les protocoles d'application. les applications ne doivent pas être spécifiquement conçues pour utiliser le protocole IPsec.

Par conséquent, IPsec protège n'importe quel trafic applicatif via un réseau IP.

IPsec
Sécurité du protocole Internet (IPsec) est une suite de protocoles pour sécuriser les communications de Protocole Internet (IP) par authentification et cryptage de chaque paquet IP d'une session de communication. IPsec comprend également les protocoles pour l'établissement l'authentification mutuelle entre agents au début de la session et la négociation des clés de chiffrement à utiliser lors de la session.

IPsec
IPsec est un régime de sécurité de bout en bout dans la Couche Internet de la Suite de protocoles Internet. Il peut être utilisé pour protéger le flux de données entre : _ Deux hôtes (hôte-hôte), _ Une paire de passerelles de sécurité (réseau-réseau), _ Une passerelle de sécurité et un hôte (réseau-to-host).

IPsec
IPSec est un protocole destiné à fournir différents services de sécurité. Il propose ainsi plusieurs choix et options qui lui permettent de répondre de façon adaptée aux besoins des entreprises, nomades, extranets, particuliers, etc... Néanmoins, son intérêt principal reste sans conteste son mode dit de tunneling, c'est-à-dire d'encapsulation d'IP qui lui permet entre autres choses de créer des réseaux privés virtuels (VPN ) . Cette technologie à pour but d'établir une communication sécurisée (le tunnel) entre des entités éloignées, séparées par un réseau non sécurisé voir public comme Internet .

IPsec
De manière succincte, citons quelques propriétés générales des tunnels destinés aux VPNs : _ les données transitant sont chiffrées (confidentialité) et protégées (intégrité) _ les 2 extrémités sont authentifiées _ les adresses sources et destinations sont chiffrées, avec IPSec (IP dans IPSec) _ Ils peuvent présenter, suivant le protocole, des qualités antirejeux ou empêcher les attaques type man-in-the-middle.

IPsec
Les implémentations d'IPSec
D'un point de vue pratique, IPSec est un protocole relativement difficile à implémenter d'une part à cause de sa complexité intrinsèque (multiples sous-protocoles...) et d'autre part à cause de ses interactions avec les processus réseau courants. S'il a été conçu avec des critères tel que l'interopérablité en tête, IPSec n'en reste pas moins un protocole de niveau 3 qui ne supporte aucune modification ni altération à ce niveau (ou supérieur) une fois ses paquets créés.

IPsec
Les services proposés par IPSec
Les services de sécurité proposés par IPSec permettent d'assurer les propriétés des tunnels et VPNs citées précédemment : Authentification des extrémités : cette authentification mutuelle permet à chacun de s'assurer de l'identité de son interlocuteur. Rappelons tout de même qu'IPSec est un protocole de niveau 3 et qu'il ne fournit donc qu'une authentification de niveau égal, c'està-dire une authentification des machines mettant en œuvre le protocole plutôt que des personnes utilisant réellement la machine. Nous verrons techniquement comme l'authentification est effectuée dans les paragraphes suivants.

IPsec
Confidentialité des données échangées : IPSec permet si on le désire de chiffrer le contenu de chaque paquet IP pour éviter que quiconque ne le lise. Authenticité des données : IPSec permet de s'assurer, pour chaque paquet échangé, qu'il a bien été émis par la bonne machine et qu'il est bien à destination de la seconde machine. Intégrité des données échangées : IPSec permet de s'assurer qu'aucun paquet n'a subit de modification quelconque (attaque dite active) durant son trajet.

IPsec
Protection contre les écoutes et analyses de trafic : IPSec permet de chiffrer les adresses IP réelles de la source et de la destination, ainsi que tout l'en-tête IP correspondant. C'est le mode de tunneling, qui empêche tout attaquant à l'écoute d'inférer des informations sur les identités réelles des extrémités du tunnel, sur les protocoles utilisés au-dessus d'IPSec, sur l'application utilisant le tunnel (timing-attacks et autres)... Protection contre le rejeu : IPSec permet de se prémunir contre les attaques consistant à capturer un ou plusieurs paquets dans le but de les envoyer à nouveau (sans pour autant les avoir déchiffrés) pour bénéficier des même avantages que l'envoyeur initial.

IPsec
Architecture de sécurité:

La suite IPsec est une norme ouverte. IPsec utilise les protocoles suivants pour exécuter diverses fonctions : > En-têtes d'authentification (AH) prévoient l'intégrité et des données sans connexion origine authentification des Datagrammes IP et offre une protection contre les attaques de relecture.
> Charge utile ESP (Encapsulating Security) garantit la confidentialité, données origine authentification.

IPsec
Le protocole d'authentification AH
Le protocole AH (Authentification Header) fournit les services de sécurité suivants : Intégrité en mode non-connecté (voir l'article introduisant la sécurité informatique) Authentification des données Anti-rejeu (optionnel) L'en-tête AH se compose de 6 champs comme le décrit l'image suivante :

IPsec
AH permet de se protéger contre les attaques de type : _ Spoofing et autres modifications des paquets IP _ Rejeux _ DoS quand ils sont basés sur la charge impliquée par les calculs cryptographiques (la vérification d'intégrité n'intervient qu'après)

IPsec
Le protocole de confidentialité ESP
Le protocole ESP (Encapsulating Security Payload) fournit les services de sécurité suivants : _Confidentialité _Protection contre de l'analyse de trafic _Intégrité en mode non-connecté (comme AH) _Authentification des don On peut voir tout de suite qu'ESP couvre les services offerts par AH, et on peut se demander pourquoi AH est utilisé et pourquoi l'on complique ainsi un protocole qui l'est déjà bien assez. C'est en effet une question qui est d'actualité mais néanmoins il faut souligner le fait qu'AH offre des services plus complets qu'ESP car il est le seul à protéger l'en-tête du paquet (en-tête original en mode Transport, en-tête IPSec en mode Tunnel). ESP ne protège que les données (c'est-à-dire tout au plus l'en-tête original en mode Tunnel).

IPsec
L'en-tête ESP se compose de 7 champs (dont 2 optionnels) comme le décrit l'image suivante : _ Nées (comme AH) _ Anti-rejeu (comme AH)

IPsec
Description des modes d'IPSec : (3 Modes ) Le mode Transport ne modifie pas l'en-tête initial; il s'intercale entre le protocole réseau (IP) et le protocole de transport (TCP, UDP...). Plusieurs variantes existent, conformément aux protocoles décrits plus haut :

IPsec
Mode de transport En mode transport, uniquement la charge utile du paquet IP est généralement chiffré et/ou authentifié. Le routage est intact, étant donné que l'en-tête IP n'est ni modifiée ni chiffrée ; Lorsque l' en-tête d'authentification est utilisée, les adresses IP ne peuvent pas toutefois être traduites, car cela entraînera l'annulation de la valeur de hachage. Les couches transport et application sont toujours sécurisées par hachage .

IPsec
Le mode Tunnel remplace les en-têtes IP originaux et encapsule la totalité du paquet IP. Par exemple, l'adresse IPA externe pourra être celle de la passerelle de sécurité implémentant IPSec, et l'adresse IPB interne sera celle de la machine finale, sur le réseau derrière la passerelle.

IPsec
Mode de tunnel En mode tunnel, la totalité du paquet IP est chiffrée et/ou authentifiée. Elle est ensuite encapsulée dans un nouveau paquet IP avec un en-tête IP. Le mode tunnel est utilisé pour créer des réseaux privés virtuels pour les communications réseau à réseau (exemple entre les routeurs pour relier des sites), communications hôte-àréseau (accès des utilisateurs distants, par exemple) et la communication hôte-hôte (exple : chat privé).

IPsec
Le mode de Nesting est hybride puisqu'il utilise les 2 modes cités précédemment. Il s'agit bien d'encapsuler de l'IPSec dans de l'IPSec; nous verrons plus tard les répercussions au niveau implémentation (bundle de SAs) :

IPsec
Conclusion :
IPSec est comme nous l'avons vu un assemblage de plusieurs protocoles et mécanismes ce qui le rend techniquement très complexe. Je vous invite à consulter les RFCs correspondantes pour toute question précise à son sujet.
IPSec est d'autre part en constante évolution car il est soutenu par une grande population technique et scientifique. Il existe de nombreux drafts à son sujet ou sur des sujets annexes comme l'interopérabilité avec les dispositifs de translation d'adresse.

IPsec
Conclusion :

Rappelons enfin qu'un des objectifs de cette fiche est également de soulever les limites de ce protocole; il est bon de savoir par exemple qu'IPSec ne permet pas d'authentifier les personnes et ne peut donc pas servir à sécuriser des transactions. De ce point de vue, ce n'est pas un concurrent de SSL.

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->