P. 1
Le Grand Livre de securité informatique

Le Grand Livre de securité informatique

|Views: 1,391|Likes:
Published by mechergui

More info:

Published by: mechergui on May 25, 2009
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

07/25/2013

pdf

text

original

Avant d'aller plus loin, il parait important d'expliciter un terme qui revient assez couramment lorsque
l'on parle d'IPSec : l'Association de Sécurité ou SA.
Une SA est un élément (d'un point de vue physique, un record dans une base de données, la SAD)
qui contient toutes les infos requises pour caractériser et échanger des données à protéger. Ainsi,
chaque SA contient des éléments permettant de déterminer à quel type de trafic ou paquet elle
s'applique. On distingue :

•Les adresses de source et de destination : que ce soit unicast, anycast (IPv6), broadcast
(IPv4) ou multicast; que ce soit un intervalle d'adressage ou un masque.
•Un nom sous forme standard (X500 ou DNS) ce qui permet entre autres d'avoir des SAs
dédiées à des utilisateurs/hôtes.
•Le protocole de transport (UDP/TCP principalement)

•Les ports source et destination, ce qui permet de limiter la SA à un certain type de trafic voire
à une session.
Tous ces éléments sont appelés sélecteurs et permettent d'identifier quelle SA s'applique à tel ou tel
trafic. Néanmoins, la fonction primaire de la SA est d'indiquer quels traitements doivent être
appliqués au trafic identifié précédemment. On distingue les éléments suivants :

•Données et paramètres d'authentification : pour AH ou ESP, algorithmes, clés...

•Données et paramètres de confidentialité : pour AH ou ESP, algorithmes, clés, vecteurs
d'initialisation (IV), ...
•Données et paramètres d'anti-rejeu : nombres de séquence, compteurs divers, fenêtres d'anti-

rejeu...
•Type d'en-tête IPSec : modes Transport, Tunnel ou les 2

•Durée de vie de la SA : temps ou quantité maximale de données à protéger

•Options de fragmentation

Les champs présentés ici montrent à quel point une SA peut-être précise sur le type de données sur
lequel elle s'applique. On parle alors de granularité. Nous verrons plus tard les interactions entre la
SAD et une autre base de données, la SPD, qui permettent d'affiner encore plus le traitement des
flux.

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->