Beruflich Dokumente
Kultur Dokumente
Bernard Cousin
Plan
Prsentation d'IP Security L'architecture d'IPsec "Authentication Header" "Encapsulating Security Payload" Les associations de scurit Politique de scurit et gestion des clefs
Scurit des rseaux informatiques 2
Prsentation d'IPsec
IPsec n'est pas un protocole : IPv4 ou IPv6. IPsec offre des service d'authentification, d'intgrit et de confidentialit IPsec offre un cadre gnral qui permet une paire d'entits d'tablir une communication scurise Les services et algorithmes utiliss sont paramtrables.
Scurit des rseaux informatiques 3
Utilisation d'IPsec
Pour les applications :
Echanges scuriss entre les sites d'une mme entreprise Accs scuriss distants utilisant l'Internet Etablissement d'un extranet ou d'un intranet scuris avec des entreprises partenaires Commerce lectronique scuris Les messages proviennent d'un routeur autoris Les messages de redirection proviennent d'un routeur qui a reu le message Les messages de routage ne sont pas modifis
IPsec est le principal procd utilis pour construire un VPN ("Virtual private network")
Scurit des rseaux informatiques
L'architecture d'IPsec
Les normes d'IPsec :
RFC 2401: "An overview of security architecture" RFC 2402: "Description of a packet authentication extension to IPv4 and IPv6" RFC 2406: "Description of a packet encryption extension to IPv4 and IPv6" RFC 2408: "Specification of key managament capabilities" RFC 2409 : PKI
Scurit des rseaux informatiques 7
L'architecture d'IPsec
10
Encrypts IP payload and Encrypts inner IP any IPv6 extesion header packet Encrypts IP payload and Encrypts inner IP any IPv6 extension packet. Authenticates header. Authenticates IP inner IP packet. payload but no IP header
11
12
13
14
L'entte d'authentification
Offre les service d'intgrit et d'authentification (MAC code) des paquets IP. Protge contre le rejeu.
15
16
17
Authentification:
HMAC-MD5-96 HMAC-SHA-1-96
Scurit des rseaux informatiques 18
19
20
10
21
22
11
23
24
12
Access control Connectionless integrity Data origin authentication Rejection of replayed packets Confidentiality Limited traffic flow confidentiality
O O O O
25
13
SADB
SADB :
"Security Association DataBase"
27
SPD
SPD "Security Policy Database"
Dfinie la politique de scurit associ chaque type de paquet
Nom de la politique Dfinition des slecteurs de ce type de paquet Traitement associ ce type de paquet :
Adresse source, adresse destination, type de protocole, port, etc. limination, "by-pass", scuriser : Dfinition des rgles IPsec appliquer Si c'est le premier paquet de ce type alors cration d'une SA
Scurit des rseaux informatiques 28
14
Pour les environnements petits et statiques Cration des clefs de SA la vole (" on demand") Utilisation d'un systme rparti et dynamique
Scurit des rseaux informatiques 29
15