WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Etude des protocoles de sécurité dans le réseau internet

( Télécharger le fichier original )
par Fils NZALANKUMBU DIALEMBA
Institut supérieur de techniques appliquées Kinshasa - Ingénieur en informatique appliquée 2007
  

précédent sommaire suivant

V.3.2. Exemples de déploiements : Réseaux privés virtuels, Extranet, Serveurs Protégés, etc.

Ce paragraphe présente trois exemples typiques d'utilisation d'IPSec dans un réseau d'entreprise. Il va de soi que, dans la pratique, ces trois cas peuvent être combinés et déclinés en de nombreuses variantes.

Exemple 1 : Réseaux privés virtuels

Une première utilisation possible d'IPSec est la création de réseaux privés virtuels entre différents réseaux privés séparés par un réseau non fiable comme l'Internet. Les matériels impliqués sont les passerelles de sécurités en entrée/sortie des différents réseaux (Routeurs, gardes-barrières, boîtiers dédiés). Cette configuration nécessite donc l'installation et la configuration d'IPSec sur chacun de ces équipements afin de protéger les échanges de données entre les différents sites. La figure V.2 illustre les réseaux privés virtuels.

Fig. V.2. Réseaux privés virtuels

Cet usage d'IPSec présente un certain nombre de limites :

1' Si beaucoup de communications doivent être chiffrées, des problèmes de performances peuvent apparaître ;

1' La configuration des équipements IPSec se faisant souvent manuellement et statiquement, l'utilisation d'une telle configuration avec un nombre élevé de sites et de tunnels est pour le moment difficile ;

1' La protection intervient seulement sur la traversée du réseau public, il n'y a pas de protection de bout en bout des communications.

Exemple 2 : Extranet

Dans l'exemple précédent, on désirait permettre des communications sûres entre différents sites fixes. Un autre cas est celui où les communications à sécuriser ne sont pas fixes mais au contraire intermittentes et d'origines variables. C'est le cas, par exemple, lorsqu'on désire permettre à des employés ou à des partenaires situés a l'extérieur de l'entreprise d'accéder au réseau interne sans diminuer le niveau de sécurité (Donc en mettant en oeuvre une confidentialité et un contrôle d'accès forts). Les matériels impliqués sont les portes d'entrées du réseau (Serveur d'accès distants, liaison Internet, etc.) et les machines utilisées par les employés (Ordinateur portable, ordinateur personnel au domicile, etc.). La figure V.3 illustre l'extranet.

Fig. V.3. Extranet

Cette configuration nécessite l'installation d'IPSec sur les postes de tous les utilisateurs concernés et la gestion d'une éventuelle base de données adaptée pour stocker les profils individuels. En contrepartie, elle représente un gros apport pratique pour les employés qui se déplacent beaucoup, sans diminution de la sécurité du réseau.

Exemple 3 : Protection d'un serveur sensible

Dans les deux exemples précédents, l'approche choisie était orientée vers la protection du réseau de l'entreprise dans son ensemble. On peut également vouloir utiliser IPSec pour protéger l'accès a une machine donnée. Par exemple, si un serveur contient des données sensibles que seul un nombre réduit de personnes (Internes ou externes a l'entreprise) doit pouvoir consulter, IPSec permet de mettre en oeuvre un contrôle d'accès fort et un chiffrement des données pendant leur transfert sur le réseau. Les matériels impliqués dans ce type de configuration sont le serveur sensible et les machines de toutes les personnes devant accéder aux données. La figure V.4 illustre le serveur sensible.

Fig. V.4. Serveur sensible

IPSec rend la sécurisation possible quelles que soient les applications utilisées pour accéder au serveur.

V.3.3. Protocole IPSec V.3.3.1. Généralités

IPSec est un ensemble de protocoles conçu par l'IETF afin de sécuriser le trafic IP. Initialement conçu dans la philosophie d'IPv6, IPSec est un système d'encapsulation offrant les services de sécurité requis au niveau IP. Néanmoins, étant donné que les besoins en matière de sécurité sur Internet et sur les Intranets ne peuvent attendre que la totalité (ou d'au moins une grande majorité) du parc informatique mondial ait migré vers IPv6, il est nécessaire que IPSec soit également utilisable avec IPv4. Une manière commode de procéder, qui a l'avantage de garantir la compatibilité avec toutes les implémentations existantes du protocole IP sans avoir à les modifier, est de considérer le protocole IPSec comme un protocole indépendant, implémentable comme un module additionnel sous forme d'un logiciel ou d'un équipement électronique dédié.

V.3.3.2. Services offerts par IPSec

Une communication entre deux hôtes, protégée par IPSec, est susceptible de fonctionner suivant deux modes différents : le mode transport et le mode tunnel.

Le premier mode offre essentiellement une protection aux protocoles de niveau supérieur, le second permet quant a lui, d'encapsuler des datagrammes IP dans d'autres datagrammes IP dont le contenu est protégé. L'intérêt majeur de ce second mode est qu'il traite toute la partie IPSec d'une communication et transmet les datagrammes épurés de leur partie IPSec à leur destinataire réel réalisable. Il est également possible d'encapsuler une communication IPSec en mode tunnel, ellemême traitée par une passerelle de sécurité, qui transmet les datagrammes après suppression de leur première enveloppe à un hôte traitant à son tour les protections restantes ou à une seconde passerelle de sécurité.

V.3.3.2.1. AH (Authentication Header)

AH est le premier et le plus simple des protocoles de protection des données qui font partie de la spécification IPSec. Il a pour vocation de garantir :

1' L'authentification : les datagrammes IP reçus ont effectivement été émis par l'hôte dont l'adresse IP est indiquée comme adresse source dans les en-têtes ;

1' L'unicité (optionnelle, a la discrétion du récepteur) : un datagramme ayant été émis légitimement et enregistré par un attaquant ne peut être réutilisé par ce dernier, les attaques par rejeu sont ainsi évitées ;

1' L'intégrité : les champs suivants du datagramme IP n'ont pas été modifiés depuis leur émission : Données (en mode tunnel, ceci comprend la totalité des champs, y compris en-têtes du datagramme IP encapsulé dans le datagramme protégé par AH), version (4 en IPv4, 6 en IPv6), longueur de l'en-tête totale du datagramme (en IPv4), longueur des données (en IPv6), identification, protocole ou en-tête suivant (ce champ vaut 51 pour indiquer qu'il s'agit du protocole AH), adresse IP de l'émetteur, adresse IP du destinataire (sans Source Routing).

En outre, au cas où le Source Routing serait présent, le champ adresse IP du destinataire a la valeur que l'émetteur a prévu qu'il aurait lors de sa réception par le destinataire. Cependant, la valeur que prendront les champs type de service (IPv4), somme de contrôle d'en-tête (IPv4), classe (IPv6), flow label (IPv6) et hop limit (IPv6) lors de leur réception n'étant pas prédictible au moment de l'émission, leur intégrité n'est pas garantie par AH. En plus, AH n'assure pas la confidentialité des données : les données sont signées mais pas chiffrées.

La figure V.5 illustre l'Architecture d'IPSec.

Fig. V.5. Architecture d'IPSec

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy