Le protocole Internet (IP) était le premier moyen de transférer un datagramme entre utilisateurs. Cependant, il lui manquait la possibilité d’authentifier les données envoyées. Cela a conduit à la création d’IPsec, l’un des principaux protocoles de sécurité en ligne utilisés par les organisations.
Dans cet article, vous découvrirez en quoi consiste IPsec et comment cela fonctionne. Il existe de nombreux éléments et termes techniques, mais de brèves explications vous permettront de mieux comprendre.
Vue d’ensemble
IPsec (Internet Protocol Security) est un ensemble de protocoles (ou conditions / accords définis) assurant la sécurité entre deux hôtes en communication. L’hôte représente des utilisateurs comme vous et moi. IPsec contribue à l’authentification et au cryptage des données.
En raison de sa capacité à assurer la sécurité, IPsec est parfois utilisé pour configurer des réseaux privés virtuels (VPN). IPsec utilise un ensemble de différentes règles (protocoles) pour s’acquitter de ses fonctions et tâches. Ces protocoles sont l’en-tête d’authentification (AH) et l’encapsulation de données utiles de sécurité (ESP).
Normes IPsec
Nous savons maintenant qu’IPsec utilise un ensemble de techniques et de protocoles pour fonctionner. Cela le rend impossible de fonctionner selon une seule norme. Au lieu de cela, il fonctionne avec un ensemble de normes établies par différentes publications rédigées par des ingénieurs informaticiens et des scientifiques.
Ces normes définissent l’architecture, les services et les protocoles spécifiques utilisés dans IPsec. Cela aide également l’utilisation d’IPsec à rester uniforme dans le monde entier. Ces collections de publications sont officiellement connues sous le nom de «Request For Comments» (RFC).
Mode de fonctionnement IPsec
Le mode tunnel implique la protection totale de l’ensemble du paquet IP d’origine par IPsec. IPsec couvre le paquet authentique (qui est un ensemble de données en cours de transfert), le code, ajoute de nouvelles informations sur l’adresse IP (cette information est appelée l’en-tête IP) et les envoie à l’autre côté du tunnel (homologue IPsec) qui est principalement un tunnel VPN auquel l’autre hôte est connecté. Le mode tunnel est le plus souvent utilisé entre des passerelles ou entre une station d’extrémité et une passerelle.
Le mode tunnel est utilisé pour sécuriser l’échange de données entre les passerelles IPsec sécurisées. En mode tunnel, un en-tête IPsec pouvant être AH ou ESP est installé entre le protocole de couche supérieure et l’en-tête IP. ESP est le plus couramment utilisé dans la configuration de tunnel VPN IPsec sur AH. Il est utilisé si l’un des homologues Internet Key Exchange (une sorte de règles et réglementations de base IPsec) est une passerelle de sécurité (un intermédiaire) appliquant IPsec pour le compte d’un autre hôte.
Mode de transport
Ce mode englobe en fait uniquement la charge utile IP pour assurer une communication sécurisée. Pensez aux informations que vous envoyez en tant qu’être humain, avec une tête, des bras, un torse et des jambes. La même chose vaut pour vos données. Le modèle de tunnel renferme l’intégralité de «l’humain» tandis que le mode de transport n’enferme que le corps, laissant la tête ouverte. Par conséquent, lorsque le mode de transport est utilisé, l’en-tête IP reflète la source et la destination d’origine du paquet. Le transport est le plus souvent utilisé dans un scénario hôte à hôte, où les points de terminaison de données et de sécurité sont les mêmes.
Protocoles IPsec
Deux parties principales font le gros du travail quand il s’agit d’IPSec. Ces parties sont désignées sous le nom de protocole, bien qu’elles ne constituent pas un protocole autonome standard, car elles ne peuvent pas fonctionner seules.
Ces protocoles sont :
- Authentication Header (AH) : il fournit des services de vérification pour IPsec. Il permet au destinataire d’un message de vérifier que l’expéditeur supposé d’un message est bien, en fait, celui qui l’a envoyé. Cela aide aussi à découvrir le déguisement. En outre, il permet au destinataire d’authentifier que les périphériques intermédiaires lors de la transmission n’ont falsifié aucune des données transférées et offre également une sécurité contre les «attaques par rejeu», dans le cadre desquelles les informations sont lues par un hôte non autorisé et renvoyées. En fin de compte, AH assure l’intégrité des données dans le datagramme, mais pas sa confidentialité.
- Encapsulating Security Payload (ESP) : ce protocole permet de chiffrer ou de coder vos données lors de leur échange sur le réseau public. Son objet principal est le «corps», les données elles-mêmes (charge utile IP).
Association de sécurité (SA)
Le concept de Security Association (SA) fonctionne directement avec les protocoles décrits. Un SA est une relation entre deux hôtes ou plus. Cette relation décrit comment les hôtes utilisent les services de sécurité (tels qu’IPsec) pour communiquer en toute sécurité.
IPsec fournit de nombreuses options pour effectuer le chiffrement et la vérification du réseau. IPsec utilise l’association de sécurité pour suivre tous les détails concernant une session de communication de sécurité donnée. La bonne chose à propos de cette association est qu’elle donne à un hôte ou à un ordinateur la possibilité de choisir le service de sécurité qu’il souhaite.
Phases d’IPsec
- Déterminez le trafic intéressant : trafic intéressant signifie un échange de données qu’il convient de protéger. La première phase d’IPSec consiste à déterminer si une connexion particulière mérite ou non d’être protégée.
- IKE (Internet Key Exchange) phase 1 : un protocole standard de gestion de clés est utilisé en association avec le service IPsec. Il crée une clé secrète partagée, utilisée pour déchiffrer les données cryptées. Imaginez la personne A enfermant un livre destiné à la personne B dans une boîte, A envoie ensuite une clé à B pour que lui seul puisse l’ouvrir.
- IKE phase 2 : une fois que IKE a établi un tunnel sécurisé, la stratégie IPsec et l’association de sécurité sont établies. Les hôtes doivent se mettre d’accord sur un ensemble de protocoles de sécurité à utiliser pour que chacun envoie des données dans un format compréhensible par l’autre.
- Transférer des données : après cela, chaque appareil doit utiliser tous les paramètres (protocoles, méthodes et clés) préalablement convenus pour coder, envoyer et décoder des données sur le réseau.
- À la fin de l’échange de données, le tunnel de communication est immédiatement «détruit».
Mise en œuvre d’IPsec
La mise en œuvre s’effectue de différentes manières, car certains estiment qu’IPsec devrait être installé sur tous les hôtes connectés à un réseau et d’autres estiment qu’il devrait être limité à des hôtes ou des routeurs spécifiques.
- Implémentation d’hôte final : cela implique d’avoir IPsec sur tous les périphériques, ce qui offre une flexibilité et une sécurité maximales, mais c’est fastidieuses.
- Implémentation de routeur : cela implique l’installation d’IPsec sur des routeurs spécifiques, ce qui est beaucoup plus facile, car seuls quelques routeurs au lieu de centaines, voire de milliers d’utilisateurs doivent être configurés.
Pour obtenir IPsec dans un routeur ou un périphérique, différentes méthodes sont également nécessaires. Il peut être installé dans la couche de connexion (pile IP) d’un système d’exploitation. Cette procédure nécessite en réalité une modification du code source. Pour ce faire, vous devez utiliser cette méthode à la fois pour la passerelle de sécurité et pour l’hôte. Si vous ne souhaitez pas que le système d’exploitation soit modifié, vous pouvez utiliser l’implémentation Bump-in-the-stack (BITS). Ici, IPsec est implémenté entre les pilotes réseau et la pile IP.
Fonctions clés ou services d’IPsec
Nous avons parlé des aspects techniques d’IPsec. Voyons maintenant correctement les fonctions d’IPsec :
Confidentialité : IPsec permet de chiffrer (pour rendre une donnée uniquement lisible par des hôtes autorisés) des données afin que seuls les hôtes souhaités puissent la lire.
Intégrité des données : il permet de déterminer si, au cours de la transmission, les données ont été modifiées ou non.
Authentification des données : expéditeur et destinataire.
Anti-rejeu : cela permet de s’assurer que chaque paquet est unique.
Alternatives à IPSec
IPSec est un protocole de sécurité très basique offrant une sécurité au niveau du réseau (IP), qui est la racine de la connexion. Il existe également d’autres protocoles de sécurité pouvant être utilisés :
- Sécurité au niveau de la connexion : ce type de sécurité permet de configurer des tunnels lorsque les hôtes sont prêts à être connectés, contrairement à IPsec qui dépend de l’adresse IP avant d’établir la sécurité. Un exemple de ceci est le protocole PPTP (Point to Point Tunneling Protocol) et le protocole de transmission de couche 2 (L2F). Ces deux protocoles ont ensuite été fusionnés dans le protocole de tunnelisation de couche 2. Un inconvénient majeur de ce protocole est le manque de sécurité au niveau IP (paquet).
- Sécurité aux niveaux supérieurs : Vous pouvez décider d’aller plus loin et de renforcer votre sécurité. Ce type de sécurité ne nécessite généralement aucune modification de votre appareil. Les types de sécurité de cette catégorie sont les suivants : SSL (Secure Sockets Layer), S / MIME (Secure / Multipurpose Internet Mail Extensions) et PGP (Pretty Good Privacy).
VPN et tunneling
Un réseau privé virtuel (VPN) permet aux utilisateurs d’échanger des données sur des réseaux publics comme si les périphériques étaient directement liés au réseau virtuel. Un VPN attribue à un utilisateur une adresse IP différente, ce qui lui donne l’impression de se connecter depuis un autre emplacement.
IPsec peut être utilisé de manière transparente avec les VPN. Cette incorporation forme un VPN IPsec. Cela fait référence au processus de création et de gestion de connexions VPN à l’aide d’une suite de protocoles IPsec. Vous pouvez également vous y référer en tant que VPN sur IPsec.
Un autre aspect important d’un VPN est le tunnel utilisé pour la transmission de données. Un tunnel VPN est une connexion cryptée reliant un appareil à un serveur. Cela fonctionne en couvrant (encapsulant) les données dans un paquet de données crypté. IPsec utilise naturellement le mode tunnel pour établir des tunnels VPN. IPsec fournit un niveau de sécurité amélioré sur les connexions VPN en fournissant des services de cryptage, d’authentification et de compression au niveau réseau du VPN.
La plupart du temps, les fournisseurs de services VPN utilisent IPsec avec d’autres protocoles pour renforcer la sécurité.
Dernières pensées
IPsec permet aux différents périphériques de décider librement de la manière dont ils souhaitent implémenter la sécurité.
La méthode d’administration de la sécurité IPsec est plus basique que d’autres méthodes, car elle aborde la sécurité depuis la base, la propriété intellectuelle elle-même.
Cela le rend toujours pertinent même avec des protocoles de sécurité plus complexes développés régulièrement.
Dans l’ensemble, la sécurité au niveau IP est assez solide et mérite d’être examinée.
Si vous avez des questions concernant IPsec, vous pouvez nous les poser dans la section commentaires ci-dessous.