IPSEC

1
 IPSec
Définition :

« Protocole de sécurité au sein de la couche réseau. Ce protocole est développé pour

fournir un service de sécurité à base de cryptographie, permettant de garantir
l'authentification, l'intégrité, le contrôle d'accès et la confidentialité des données. »

D'une manière plus commune : IPSec = formatage de trame permettant le chiffrement

des données au niveau IP.

2
 IPSec
 IPsec protocole de niveau 3

 Création de VPN sûr basé forcément sur IP

 Permet de sécurisé les applications mais

également toute la couche IP

-3-
 IPSec
 Confidentialité des données

 Intégrité des données

 Authentification de l'origine des données

 Anti-rejeu
4
 Présentation des principaux protocoles existants
 Permet de sécuriser l'échange de données au niveau de la couche réseau.

 Basé sur 2 mécanismes de sécurité :

– AH (Authentification Header) vise à assurer l'intégrité et l'authenticité des

datagrammes IP.

5
Présentation des principaux protocoles existants
 ESP (Encapsulating Security Payload) peut assurer au choix, un ou plusieurs des
services suivants :

⁻ Confidentialité (confidentialité des données et protection partielle contre

l'analyse du trafic si l'on utilise le mode tunnel).

⁻ Intégrité des données en mode non connecté et authentification de l'origine

des données, protection contre le rejeu.

6
 Présentation des principaux protocoles existants
 Les 2 modes de fonctionnement d ’Ipsec :

– Le mode transport prend un flux de niveau transport et réalise les

mécanismes de signature et de chiffrement puis transmet les données à la
couche IP. Dans ce mode, l'insertion de la couche IPSec est transparente
entre TCP et IP. TCP envoie ses données vers IPSec comme il les enverrait
vers IPv4.

– Dans le mode tunnel, les données envoyées par l'application traversent la

pile de protocole jusqu'à la couche IP incluse, puis sont envoyées vers le
module IPSec. L'encapsulation IPSec en mode tunnel permet le masquage
d'adresses.

7
 IPSec en mode transport

VPN Server B

Workstation A

Internet

Security Security
gateway 1 gateway 2

encrypted

A B data

8
 IPSec en mode tunnel

VPN Server B
A B data
Workstation A

Internet

Security Security
source destination gateway 1 gateway 2
A B data encrypted

1 2 A B data

9
 Modes IPSec

Mode tunnel

Mode transport

Mode nesting
10
 Modes IPSec
 Schéma de ces 2 modes :

12
 Security Association
 Encapsulation et la désencapsulation des Paquets
IPsec est dépendante du sens de transmission des
paquets

 Association services de sécurité et clés avec un

trafic unidirectionnel

 Les données permettant de spécifier ce sens sont

mise dans une SA
-13-
 Security Association
Une SA est identifiée par :

 Un Security Parameter Index (SPI)

 Le protocole IPSec utilisé

 L'adresse de destination

-14-
 IKE Internet Key Exchange
Un protocole puissant flexible de négociation :

 méthodes d'authentification

 méthodes de chiffrement

 clés d'utilisation + temps d'utilisation

 échange intelligent et sûr des clés.

-15-
 IKE Internet Key Exchange
 Un protocole pour l’échange de clés :

 IKE  gestion automatique des associations de sécurité

 Une usine à gaz

– Complexité due à l’emploi de mécanismes de chiffrement asymétrique (i.e. gestion

des clés et de leur distribution)

– … mais manuellement c’est pire !

– IKEv2 est censé améliorer les choses

 Concrétisation du cadre générique d’échange de clés et de

négociation des associations de sécurité (SA) décrites dans ISAKMP

– Association de sécurité  somme d’informations caractérisant une relation

unidirectionnelle sécurisée entre 2 machines (paramètres d’authentification,
paramètres de chiffrement, temps de vie, mode IPSec, …etc.)

– Les SA sont stockées dans une base de données (SAD) 16

 IKE Internet Key Exchange

(Source www.frameip.com) 17
 IKE Internet Key Exchange
 SPD  base de données des règles de sécurité

 SPD spécifie pour chaque datagramme IP quels opérations effectuer et au

besoin via quels services de sécurité

– Géré majoritairement au niveau de chaque passerelle… mais les opérateurs de

télécommunications oeuvrent à la centralisation des SPD

– Chaque entrée du SPD est constitué d’un certain nombre de paramètres appelés
sélecteurs

 Le trafic IP est rattaché à une SA spécifique qui s’appuie sur la SPD

 En pratique : le moteur à 2 temps IKE

– 1ère phase : négociation d’une (SA)Isakmp pour protéger les échanges ultérieurs
(Tunnel Isakmp)

– 2ème phase : échanges relatifs à l’établissement de nouvelles (SA)Ipsec protégés

par le tunnel Isakmp qui utilise (SA)Isakmp
19
Tunnel ISAKMP : protéger la négociation des paramètres de
sécurités (SA)Ipsec

Tunel Ipsec : proteger le trafic utilisateur

(SA)Ipsec == Tunel Ipsec

(SA)Isakmp == Tunnel ISAKMP

1.(SA)Isakmp
2.Tunnel Isakmp
3.(SA)Ipsec
4.Tunnel Ipsec
5.Chiffrer les données utilisateurs 20
 IKE Internet Key Exchange

IKE Tunnel IKE bi-directionnel IKE

ISAKMP (1) ISAKMP SA ISAKMP
UDP UDP
IPSec (2) IPSec SA IPSec
IP IP

21
 Phases IKE
Secret
Phase d’initialisation Certificat
partagé

Phase 1 Main mode

ou Agressive mode
Négociation des SA IKE

Phase 2
Négociation des SA
Quick mode
pour AH et ESP

Phase opérationnelle AH ESP

(Source FT R&D)
22
 IPsec VPNs

Site-to-Site IPsec VPN Operation

Exemple de configuration

24
 Configuration Steps for Site-to-Site IPsec VPN

1. Establish ISAKMP policy

2. Configure IPsec transform set

3. Configure crypto ACL

4. Configure crypto map

1. Apply crypto map to the interface

25
Site-to-Site IPsec Configuration : Phase 1

26
Site-to-Site IPsec Configuration: Phase 2

27
Site-to-Site IPsec Configuration: Apply VPN Configuration

28