En réseau in­for­ma­tique, les paquets sont les éléments de base de la com­mu­ni­ca­tion des données (ensemble de bits) sur le Web. Ils sont composés de deux éléments : d’une part, les données de charge utile, qui com­pren­nent la langue, le texte ou les images. D’autre part, on trouve les données d’en-tête, avec l’adresse de l’ex­pé­di­teur et du des­ti­na­taire. Le grand problème de ce protocole Internet par rapport aux paquets de données repose sur l’absence de chiffrage ou de systèmes d’iden­ti­fi­ca­tion. Les données ne sont pas cryptées au cours de l’envoi et passent par dif­fé­rents routeurs. Elles peuvent donc être in­ter­cep­tées, ma­ni­pu­lées et lues à tout moment. Les trois piliers de base de la sé­cu­ri­sa­tion des données ne sont donc pas assurés. Ces piliers reposent sur la con­fi­den­tia­lité, l’au­then­ti­cité et l’intégrité.

C’est pour cette raison que la suite de pro­to­coles IPsec, ou Internet Protocol Security, a été dé­ve­lop­pée. Cette suite comprend de nom­breuses fonc­tion­na­li­tés ga­ran­tis­sant un transfert sécurisé des paquets de données sur les réseaux publics. C’est pourquoi IPsec est un élément central parmi les con­nexions VPN (virtual private network).

Qu’est-ce-qu’IPsec ?

IPsec fait partie de la famille de pro­to­coles TCIP-IP. Son ar­chi­tec­ture est stan­dar­di­sée par IETF (Internet En­gi­nee­ring Task Force), une or­ga­ni­sa­tion qui vise à dé­ve­lop­per con­ti­nuel­le­ment Internet. IPsec a été développé pour la dernière version du protocole Internet nommé IPv6 ainsi que pour IPv4. On distingue trois ca­té­go­ries de fonctions :

  • Pro­to­coles de transfert : Au­then­ti­ca­tion Header (AH), En­cap­su­la­ting Security Payload (ESP)
  • Procédé de gestion de clé : Internet Security As­so­cia­tion and Key Ma­na­ge­ment Protocol (ISAKMP), Internet Key Exchange (IKE)
  • Bases de données : Security As­so­cia­tion Database (SAD), Security Policy Database (SPD)

A l’aide des pro­to­coles de transfert AH et ESP, le protocole IPsec garantit à la fois l’au­then­ti­cité et la sécurité des données envoyées, c’est-à-dire assurer que leur contenu cor­res­ponde réel­le­ment à celui de l’ex­pé­di­teur et qu’il arrive tel quel au des­ti­na­taire. C’est pourquoi AH propose un système d’au­then­ti­fi­ca­tion en temps réel de la source de données, via l’en-tête du paquet de données. D’autre part, le protocole garantit que les données restent intactes durant leur transfert. De plus, l’en-tête comprend un numéro de séquence, afin que ces paquets ne puissent être envoyés qu’une seule fois.

Le protocole ESP permet en plus de cela de crypter les données qui ont été envoyées. L’au­then­ti­fi­ca­tion ESP se démarque du protocole AH car son système n’est pas complet et ne prend pas en compte l’en-tête IP. A l’aide d’une en­cap­su­la­tion sup­plé­men­taire, les éléments ESP peuvent tout de même être livrés cor­rec­te­ment comme avec les accès DSL privés sur les réseaux NAT.

La gestion du chiffrage ESP est gérée en grande partie par le protocole IKE. Il s’agit d’ar­ran­ge­ments en matière de sécurité (security as­so­cia­tions) entre l’émetteur et le des­ti­na­taire. Pour cela, l’échange de clés Diffie-Hellman est utilisé en fonction des dé­fi­ni­tions du framework ISAKMP. Les in­for­ma­tions né­ces­saires à l’envoi du paquet sur la base d’IPsec sont sau­ve­gar­dées dans deux bases de données SPD et SAD. Les entrées dans la Security Policy Database dé­ter­mi­nent par exemple quels pro­to­coles de trans­mis­sion (AH, ESP ou les deux) seront utilisés. Le SAD ad­mi­nistre les entrées spé­ci­fiques de la security as­so­cia­tion qui sont placés par le protocole IKE. Ainsi, l’ex­pé­di­teur gère le système de chiffrage et le des­ti­na­taire reçoit la clé de chiffrage.

Le mode transport et le mode tunnel d’IPsec

Deux modes opé­ra­toires dif­fé­rents assurent des con­nexions sé­cu­ri­sées avec IPsec : le mode transport et le mode tunnel. Le mode tunnel d’IPsec a pour par­ti­cu­la­rité de permettre la connexion entre deux réseaux IP.

Image: Illustration du mode de transport/tunnel pour les connexions avec IPSec
Deux pos­si­bi­li­tés de trans­mis­sion pour des con­nexions avec IPSec : Le mode tunnel et le mode de transport en aperçu

Le mode transport

Le mode transport avec IPsec s’effectue de la manière suivante : l’en-tête du protocole de transfert est inséré entre l’en-tête IP du paquet de données, qui reste inchangé, et les données de l’uti­li­sa­teur. La pro­tec­tion des données est assurée de l’or­di­na­teur de départ à l’or­di­na­teur cible. C’est seulement après que le paquet ait été délivré que les données de départ peuvent être ouvertes et mises à dis­po­si­tion du récepteur. Ainsi, le procédé de chiffrage et de com­mu­ni­ca­tion des données est identique. Ce mode a pour avantage de présenter un temps de trai­te­ment très réduit mais ne protège que la sécurité des données de l’uti­li­sa­teur, tandis que les données con­cer­nant les adresses sources et cibles ne sont pas protégées. En règle générale, le mode est utilisé pour les con­nexions d’hôte à hôte ou bien d’hôte à routeur (par exemple pour l’ad­mi­nis­tra­tion réseau).

Le mode tunnel

Avec le mode tunnel, vous obtenez un tout nouvel en-tête IP, dans lequel l’adresse cible et source tout comme les données de l’uti­li­sa­teur sont cachées. Le protocole de trans­mis­sion y est im­plé­menté, comme avec le mode transport. C’est pourquoi on dit que le paquet est encapsulé ou empaqueté. Le nouvel en-tête externe définit les pro­prié­tés cryp­to­gra­phiques, qui diffèrent de l’en-tête IP interne. C’est uni­que­ment lorsque le paquet a été dépaqueté  par ce qu’on appelle les pas­se­relles sé­cu­ri­sées qu’il est transféré au des­ti­na­taire. En règle générale, le transfert des données du mode tunnel d’IPsec s’effectue de Gateway à Gateway (pas­se­relle à pas­se­relle). Les trans­ferts hôte à pas­se­relle et hôte à hôte sont également possibles.

Forces et fai­blesses d’IPsec

Lors de la réa­li­sa­tion des tunnels sécurisés VPN (qui re­pré­sen­tent la majeure partie de la famille de pro­to­coles), IPsec présente un avantage majeur par rapport aux al­ter­na­tives comme SSL. IPsec, en tant que standard parmi les réseaux, est in­dé­pen­dant de toute ap­pli­ca­tion. Lorsque la connexion est établie, les dif­fé­rentes formes de trafic de données (que ce soient des emails, des trans­ferts de fichier, ou la té­lé­pho­nie IP par exemple) peuvent être ef­fec­tuées sans que des outils requis n’aient à être installés. Cette pile de pro­to­coles est donc une solution peu onéreuse en matière de con­nexions VPN.

En revanche, l’uti­li­sa­tion d’IPsec nécessite un logiciel spécial pour l’accès à distance. Celui-ci doit être installé, modulé et mis à jour sur le client en question. L’in­dé­pen­dance vis-à-vis des ap­pli­ca­tions peut également devenir pro­blé­ma­tique en cas d’accès non autorisé s’ils ne sont pas bloqués par un pare-feu central, car toutes les ap­pli­ca­tions pour­raient être mises en danger. Mais les avantages d’IPsec sont in­dé­niables en matière de per­for­mance et de fiabilité. Une pas­se­relle peut in­ter­ve­nir sans dif­fi­cul­tés sur un système de clusters, même lorsque des milliers d’uti­li­sa­teurs sont alimentés par des paquets de données. Pour finir, IPsec prévaut en tant que solution optimale pour toutes les données sensibles grâce à une sécurité maximisée pour le trafic de données interne des en­tre­prises.

Aller au menu principal