La scurit d'IP IPsec

Bernard Cousin

Scurit des rseaux informatiques

Plan
Prsentation d'IP Security L'architecture d'IPsec "Authentication Header" "Encapsulating Security Payload" Les associations de scurit Politique de scurit et gestion des clefs
Scurit des rseaux informatiques 2

Prsentation d'IPsec
IPsec n'est pas un protocole : IPv4 ou IPv6. IPsec offre des service d'authentification, d'intgrit et de confidentialit IPsec offre un cadre gnral qui permet une paire d'entits d'tablir une communication scurise Les services et algorithmes utiliss sont paramtrables.
Scurit des rseaux informatiques 3

Utilisation d'IPsec
Pour les applications :
Echanges scuriss entre les sites d'une mme entreprise Accs scuriss distants utilisant l'Internet Etablissement d'un extranet ou d'un intranet scuris avec des entreprises partenaires Commerce lectronique scuris Les messages proviennent d'un routeur autoris Les messages de redirection proviennent d'un routeur qui a reu le message Les messages de routage ne sont pas modifis

Pour le rseau, certifie que :

IPsec est le principal procd utilis pour construire un VPN ("Virtual private network")
Scurit des rseaux informatiques

Un scnario d'utilisation d'IPsec

Rseau d'interconnexion priv et scuris

Scurit des rseaux informatiques

Les avantages d'IPsec

Les avantages d'IPsec
Transparent vis--vis des applications, des utilisateurs (c--d. de n'importe quel protocole de couche suprieure) Adaptable/Paramtrable
Diffrents services Diffrents algorithmes Protge aussi bien un utilisateur individuel qu'un domaine entier
Scurit des rseaux informatiques

L'architecture d'IPsec
Les normes d'IPsec :
RFC 2401: "An overview of security architecture" RFC 2402: "Description of a packet authentication extension to IPv4 and IPv6" RFC 2406: "Description of a packet encryption extension to IPv4 and IPv6" RFC 2408: "Specification of key managament capabilities" RFC 2409 : PKI
Scurit des rseaux informatiques 7

L'architecture d'IPsec

Scurit des rseaux informatiques

Les services d'IPSec

Contrle d'accs Intgrit des communications ("Connectionless") Authentification de l'origine des donnes Dtection des paquets rpts (rejeu) Confidentialit (chiffrement) Confidentialit limite du volume de trafic

Scurit des rseaux informatiques

Association de scurit (SA)

Une relation unidirectionnelle entre un metteur et un rcepteur. Identifie par 3 paramtres:
Security Parameter Index (SPI) IP Destination address Security Protocol Identifier

Scurit des rseaux informatiques

10

Les diffrents modes de scurit d'IPsec

Transport Mode Tunnel Mode AH ESP ESP with authentication
Authenticates IP payload and selected portions of IP header and IPv6 extension headers Authenticates entire inner IP packet plus selected portions of outer IP header

Encrypts IP payload and Encrypts inner IP any IPv6 extesion header packet Encrypts IP payload and Encrypts inner IP any IPv6 extension packet. Authenticates header. Authenticates IP inner IP packet. payload but no IP header

Scurit des rseaux informatiques

11

Les paquets avant transformation

Scurit des rseaux informatiques

12

Transport Mode (AH Authentication)

Scurit des rseaux informatiques

13

Tunnel Mode (AH Authentication)

Scurit des rseaux informatiques

14

L'entte d'authentification
Offre les service d'intgrit et d'authentification (MAC code) des paquets IP. Protge contre le rejeu.

Scurit des rseaux informatiques

15

Authentification "End-to-end" ou "End-to-intermediate"

Scurit des rseaux informatiques

16

Encapsulating Security Payload

ESP offre un service de confidentialit et d'authentification

Scurit des rseaux informatiques

17

Les algorithmes de chiffrement et d'authentification

Chiffrement :
Three-key triple DES RC5 IDEA Three-key triple IDEA CAST Blowfish

Authentification:

HMAC-MD5-96 HMAC-SHA-1-96
Scurit des rseaux informatiques 18

Chiffrement et authentification grce ESP

Scurit des rseaux informatiques

19

Chiffrement et authentification grce ESP

Scurit des rseaux informatiques

20

10

Organisation des associations de scurit

Scurit des rseaux informatiques

21

Organisation des associations de scurit : partielle

Scurit des rseaux informatiques

22

11

Organisation des associations de scurit : hirachique

Scurit des rseaux informatiques

23

Organisation des associations de scurit : asymtrique

Scurit des rseaux informatiques

24

12

Les services d'IPsec

AH ESP (encryption only) O ESP (encryption plus authentication) O O O O O O O O O

Access control Connectionless integrity Data origin authentication Rejection of replayed packets Confidentiality Limited traffic flow confidentiality

O O O O

Scurit des rseaux informatiques

25

Politique de scurit et IPsec

IPsec est utilis dans le cadre d'une politique
IPsec a besoin d'tre paramtr
Pour tre adapt aux services de scurit qu'il doit rendre Pour effectuer les oprations ncessaires aux traitements scuriss

IPsec a besoin d'une SPD et utilise une SADB

Scurit des rseaux informatiques 26

13

SADB
SADB :
"Security Association DataBase"

Ensemble des SA tablies SPI + rgles ncessaires au fonctionnement de cette SA :

Mode de scurisation du transport Algorithmes, Paramtres d'IPsec

Scurit des rseaux informatiques

27

SPD
SPD "Security Policy Database"
Dfinie la politique de scurit associ chaque type de paquet
Nom de la politique Dfinition des slecteurs de ce type de paquet Traitement associ ce type de paquet :
Adresse source, adresse destination, type de protocole, port, etc. limination, "by-pass", scuriser : Dfinition des rgles IPsec appliquer Si c'est le premier paquet de ce type alors cration d'une SA
Scurit des rseaux informatiques 28

14

La gestion des clefs

Pour utiliser une communication scurise :
Une SA doit exister Les cls doivent avoir t changes La SADB doit tre renseigne avec cette SA Manuel

2 types de gestion des clefs :

Automatique

Pour les environnements petits et statiques Cration des clefs de SA la vole (" on demand") Utilisation d'un systme rparti et dynamique
Scurit des rseaux informatiques 29

15