IPsec peut fonctionner dans un mode transport hôte à hôte ou bien dans un mode tunnel réseau.
- Mode transport
Dans le mode transport, ce sont uniquement les données transférées (la partie
payload du paquet IP) qui sont chiffrées et/ou authentifiées. Le reste du paquet IP est inchangé et de ce fait le routage des paquets n'est pas impacté. Néanmoins, les adresses IP ne pouvant pas être modifiées sans corrompre le
hash de l'en-tête, pour traverser un
NAT il faut avoir recours à l'encapsulation
NAT-T. Le mode transport est utilisé pour les communications dites hôte à hôte (
Host-to-Host).
- Mode tunnel
En mode tunnel, c'est la totalité du paquet IP qui est chiffré et/ou authentifié. Le paquet est ensuite encapsulé dans un nouveau paquet IP avec une nouvelle en-tête IP. Au contraire du mode transport, ce mode supporte donc bien la traversée de NAT. Le mode tunnel est utilisé pour créer des réseaux privés virtuels (
VPN) permettant la communication de réseau à réseau (e.g. entre deux sites distants), d'hôte à réseau (e.g. accès à distance d'un utilisateur) ou bien d'hôte à hôte (e.g. messagerie privée.)
Pour que les réalisations d'IPsec interopèrent, elles doivent avoir un ou plusieurs algorithmes de sécurité en commun. Les algorithmes de sécurité utilisés pour une association de sécurité
ESP ou
AH sont déterminés par un mécanisme de négociation, tel que
Internet Key Exchange (
IKE).
Les algorithmes de chiffrage et d'authentification pour IPsec encapsulant le protocole
ESP et
AH sont :
NEWS+ Become Connectikpeople Representative in your Region or State: Write us to taatjene@gmail.com
