Lumière sur le Transfert des données et Fonctionnement IPsec (Internet Protocol Security)

Lors de l'établissement d'une connexion IPsec, plusieurs opérations sont effectuées :
Échange des clés
  • un canal d'échange de clés, sur une connexion UDP depuis et vers le port 500 (ISAKMP pour Internet Security Association and Key Management Protocol).
Le protocole IKE (Internet Key Exchange) est chargé de négocier la connexion. Avant qu'une transmission IPSec puisse être possible, IKE est utilisé pour authentifier les deux extrémités d'un tunnel sécurisé en échangeant des clés partagées. Ce protocole permet deux types d'authentifications, PSK (Pre-Shared Key ou secret partagé) pour la génération de clefs de sessions ou à l'aide de certificats/signatures RSA. Une signature est un certificat signé par une tierce-partie appelée Autorité de certification (AC ou CA) qui offre l'Authentification et la non-répudiation. Sans cette signature, une partie peut simplement nier la responsabilité de messages envoyés.
Sachant que l'usage de la cryptographie asymétrique (clés publiques) peut être utilisé avec IPSec, il ne permet pas la non-répudiation. IPSec utilise une association de sécurité (Security association) pour dicter comment les parties vont faire usage de AH et de l'encapsulation de la charge utile d'un paquet.
  • Une association de sécurité (SA) est l'établissement d'information de sécurité partagée entre deux entités de réseau pour soutenir la communication protégée. Une SA peut être établie par une intervention manuelle ou par ISAKMP (Internet Security Association and Key Management Protocol).
  • ISAKMP est défini comme un cadre pour établir, négocier, modifier et supprimer des SA entre deux parties. En centralisant la gestion des SA, ISAKMP réduit la quantité de fonctionnalité reproduite dans chaque protocole de sécurité. ISAKMP réduit également le nombre d'heures exigé par l'installation de communications, en négociant tous les services simultanément.
Transfert des données
un ou plusieurs canaux de données par lesquels le trafic du réseau privé est véhiculé, deux protocoles sont possibles :
  • le protocole no 51, AH, (Authentication Header) fournit l'intégrité et l'authentification. AH authentifie les paquets en les signant, ce qui assure l'intégrité de l'information. Une signature unique est créée pour chaque paquet envoyé et empêche que l'information soit modifiée.
  • le protocole no 50, ESP (Encapsulating Security Payload) fournit également l'intégrité mais aussi la confidentialité par l'entremise de la cryptographie.BY TAATJENE
NEWS+ Become Connectikpeople Representative in your Region or State: Write us to taatjene@gmail.com

    Popular Posts