UCAD FST TDSI. Ahmed Youssef

Documents pareils
Sécurité des réseaux IPSec

Sécurité GNU/Linux. Virtual Private Network

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

IPSEC : PRÉSENTATION TECHNIQUE

Présentation sur les VPN

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

Devoir Surveillé de Sécurité des Réseaux

Université de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin

Mise en route d'un Routeur/Pare-Feu

Le protocole SSH (Secure Shell)

VPN IP security Protocol

SECURIDAY 2013 Cyber War

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Complémentarité de DNSsec et d IPsec

PACK SKeeper Multi = 1 SKeeper et des SKubes

Mise en place d'un Réseau Privé Virtuel

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Eric DENIZOT José PEREIRA Anthony BERGER

Arkoon Security Appliances Fast 360

IPv6. IPv6 et la sécurité: IPsec Objectif: Sécuriser... v.1a IPv6 Théorie et Pratique & Microsoft IPsec 1

Rapport de stage Stage de fin d études IUT Réseaux et Télécommunications

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

TP réseaux Translation d adresse, firewalls, zonage

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Rapport de stage. ETUDE IPSec ET INTEGRATION DE L EXTENSION MODE CONFIG DANS LE MODULE IPSec DES UTMs NETASQ. Jigar SOLANKI. Avril-Septembre 2008

Approfondissement Technique. Exia A5 VPN

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

La sécurité dans un réseau Wi-Fi

[ Sécurisation des canaux de communication

FORMATIONS De ploiement des PKI dans les entreprises Technologie VPN IPSEC Se curiser un syste me Unix ou Linux

Cisco Certified Network Associate

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Réseaux Privés Virtuels

IPsec: Présentation et Configuration

Intégration du protocole IPsec dans un réseau domestique pour sécuriser le bloc des sous-réseaux FAN

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

Sécurité des réseaux wifi. CREIX Kevin GIOVARESCO Julien

Module 8 : Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats

Réseaux et protocoles Damien Nouvel

Tutorial VPN. Principales abréviations

OneAccess 16xx EAD Ethernet Access Device / 1.0 / AH / Public

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Un équipement (clé USB, disque dur, imprimante, etc.) est connecté au port USB.

Sécurité des réseaux wi fi

Le protocole RADIUS Remote Authentication Dial-In User Service

Mettre en place un accès sécurisé à travers Internet

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

LP ASUR - Sécurité. Introduction à la Sécurité des Systèmes d'information. Florent Autréau - florent@mataru.com 28 Avril 2013

Réseaux Privés Virtuels Virtual Private Networks

Skype (v2.5) Protocol Data Structures (French) Author : Ouanilo MEDEGAN

IPSec VPN. JTO Rennes 27 Mars. Bertrand Wallrich

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

StoneGate Firewall/VPN

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

CONVENTION d adhésion au service. EDUROAM de Belnet

Sécurité des RO. Partie 6. Sécurisation des échanges. SSL : Introduction. Rappel: Utilités la sécurité à tous les niveaux SSL SSH.

TrueCrypt : installation et paramétrage

Les réseaux /24 et x0.0/29 sont considérés comme publics

1 PfSense 1. Qu est-ce que c est

Présentation Générale

Introduction. Adresses

Accès réseau Banque-Carrefour par l Internet Version /06/2005

Résumé et recommandations

Firewall ou Routeur avec IP statique

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Sécurité en milieu Wifi.

Figure 1a. Réseau intranet avec pare feu et NAT.

Bac Pro SEN Epreuve E2 Session Baccalauréat Professionnel SYSTEMES ELECTRONIQUES NUMERIQUES. Champ professionnel : Télécommunications et réseaux

(Third-Man Attack) PASCAL BONHEUR PASCAL 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

Le protocole VTP. F. Nolot 2007

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

Réseaux grande distance

Sécurité des réseaux sans fil

La sécurité des réseaux. 9e cours 2014 Louis Salvail

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

Introduction aux Technologies de l Internet

Les Virtual LAN. F. Nolot 2008

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Description des UE s du M2

Présenté par : Ould Mohamed Lamine Ousmane Diouf

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Protocole industriels de sécurité. S. Natkin Décembre 2000

Le protocole sécurisé SSL

Outline. Comment rester anonyme? Comment cacher son adresse. Motivations. Emmanuel Benoist. Chargé de cours Université de Lausanne.

Les réseaux des EPLEFPA. Guide «PfSense»

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Authentification dans ISA Server Microsoft Internet Security and Acceleration Server 2006

Configuration de l'accès distant

Transcription:

UCAD FST TDSI Ahmed Youssef youssef@ucad.sn 1

Plan Définition Les modes de fonctionnements IPSec Les composantes IPSec La gestion des clefs pour IPSec 2

Définition IPSec (IP Security) est un protocole de la couche 3 du modèle OSI destiné à fournir différents services de sécurité. Il propose ainsi plusieurs choix et options qui lui permettent de répondre de façon adaptée aux besoins des entreprises, nomades, extranets, particuliers, etc. Néanmoins, son intérêt principal reste sans conteste son mode dit de tunnelling c'est-à-dire d'encapsulation de paquet IP qui lui permet entre autres choses de créer des VPNs. Cette technologie a pour but d'établir une communication sécurisée entre des entités éloignées, séparées par un réseau non sécurisé voir public comme Internet, et ce de manière quasi-transparente si on le désire.

Définition La couche IPSec donne donc les moyens d'assurer : la confidentialité des données échangées (lutter contre l'analyse du trafic) via le chiffrement. l authentification des intervenants et des données dans la communication (signatures). L intégrité des données (Hashage). La protection contre le rejeu (remise de paquets déjà envoyés). les deux extrémités sont authentifiées. les adresses sources et destinations sont chiffrées, avec IPSec.

Les modes de fonctionnements IPSec IPSec est un protocole défini par l'ietf permettant de sécuriser les échanges au niveau de la couche réseau. Il s'agit en fait d'un protocole apportant des améliorations au niveau de la sécurité au protocole IP afin de garantir la confidentialité, l'intégrité et l'authentification des échanges. Il existe deux modes pour IPSec : Mode transport Ce mode est utilisé pour créer une communication entre deux hôtes qui supportent IPSec. Une SA est établie entre les deux hôtes. Les entêtes IP ne sont pas modifiées et les protocoles AH et ESP sont intégrés entre cette entête et l'entête du protocole transporté. Ce mode est souvent utiliser pour sécuriser une connexion Point-To-Point.

Les modes de fonctionnements IPSec Mode tunnel Ce mode est utilisé pour encapsuler les datagrammes IP dans IPSec. La SA est appliquée sur un tunnel IP. Ainsi, les entêtes IP originales ne sont pas modifiés et un entête propre à IPSec est crée. Ce mode est souvent utilisé pour créer des tunnels entre réseaux LAN distant. Effectivement, il permet de relier deux passerelles étant capable d'utiliser IPSec sans perturber le trafic IP des machines du réseau qui ne sont donc pas forcément prête à utiliser le protocole IPSec. On conclure avec : Le mode tunnel est utilisé entre deux passerelles de sécurité (routeur, firewall,...) alors que le mode transport se situe entre deux hôtes.

Les composantes IPSec Le protocole AH IP Authentification Header (AH) vise à identifier l identité des extrémités de façon certaine. Il gère: L intégrité : on s'assure que les champs invariants pendant la transmission, dans l'entête IP qui précède l'entête AH et les données L authentification pour s'assurer que l'émetteur est bien celui qu'il dit être la protection contre le rejeu : un paquet intercepté par un pirate ne peut pas être renvoyé. Il ne gère pas la confidentialité : les données sont signées mais pas cryptées

Les composantes IPSec Le protocole AH Les schémas ci-dessous expliquent l intégration d AH dans un datagramme IPv4 En mode transport En mode tunnel AH utilise les algorithmes de hachage suivants : MD5 (Message Digest 5) algorithme utilise un hash sur 128 bits. SHA-1 (Secure Hash Algorithme) utilisant un hash sur 160 bits.

Les composantes IPSec Le protocole ESP ESP a pour but de chiffrer les données contenues dans un paquet IP on peut distinguer deux mode de fonctionnements : En mode transport, il assure : Confidentialité : les données du datagramme IP encapsulé sont cryptées Authentification : on s'assure que les paquets viennent bien de l'hôte avec lequel on communique (qui doit connaître la clé associée à la communication ESP pour s'authentifier) L'intégrité des données transmises En mode tunnel, c'est l'ensemble du datagramme IP encapsulé dans ESP qui est crypté

Les composantes IPSec Le protocole ESP Les schémas ci-dessous expliquent l intégration d ESP dans le datagramme IP En mode transport En mode tunnel ESP utilise les mêmes algorithmes de hachage que AH et dispose des algorithmes de chiffrement suivants : DES (Data Encryption Standard) à 56 bits 3DES algorithme utilisant 3 clés symétriques de 56 bits.

Les composantes IPSec SP (Security Policy) Une SP défini ce qui doit être traité sur un flux. Comment nous voulons transformer un paquet. Il y sera indiqué pour un flux donné : Les adresses IP de l'émetteur et du récepteur (unicast, mulitcast ou broadcast); Par quel protocole il devra être traité (AH ou ESP) Le mode IPSec à utiliser (tunnel ou transport) Le sens de la liaison (entrante ou sortante) Notons qu'une SP ne défini qu'un protocole de traitement à la fois. Pour utiliser AH et ESP sur une communication, deux SP devront être créée.

Les composantes IPSec SA (Security Association) Association de sécurité SA définit l'échange des clés et des paramètres de sécurité. Il existe une SA par sens de communication. Les paramètres de sécurité sont les suivants : Protocole AH et/ou ESP Mode tunnel ou transport les algorithmes de sécurité utiliser pour encrypter, vérifier l'intégrité les clés utilisées

Les composantes IPSec SAD (Security Policy Database) La SPD est la base de configuration de l IPSec. Elle permet de dire au noyau quels paquets il doit traiter. C'est à sa charge de savoir avec quel SA il fait le traitement.

La gestion des clefs pour IPSec ISAKMP ISAKMP (Internet Security Association and Key Management Protocol) permet la négociation, l'établissement, et la suppression d'associations de sécurité (SA), permettant ainsi la sécurisation de paquets devant être acheminés. Il s'agit d'un cadre générique permettant la négociation des associations de sécurité, mais il n'impose rien quant aux paramètres qui les composent. Cette négociation s'effectue en deux phases, permettant de séparer la négociation des SA pour la protection des données à transférer, de celle pour la protection du trafic propre à ISAKMP :

La gestion des clefs pour IPSec ISAKMP Durant la première phase, un ensemble d'attributs relatifs à la sécurité est négocié, les identités des tiers sont authentifiées et des clefs sont générées. Ces éléments forment la SA/ISAKMP. Contrairement aux SA IPSec, la SA ISAKMP est bidirectionnelle. Elle servira à sécuriser l'ensemble des échanges ISAKMP futurs. La seconde phase permet de négocier les paramètres de sécurité qui interviendront pour le transfert des données applicatives (le paquet IP qui devait être transmis, et qui est à l'origine de l'établissement d'une SA). Les échanges de cette phase sont sécurisés grâce à la SA ISAKMP.

La gestion des clefs pour IPSec IKE (Internet Key Exchange) IKE utilise ISAKMP pour construire un protocole pratique. Il comprend quatre modes : Le mode principal (Main mode) Le mode agressif (Aggressive Mode) Le mode rapide (Quick Mode) Le mode nouveau groupe (New Groupe Mode) Main Mode et Aggressive Mode sont utilisés durant la phase 1, Quick Mode est un échange de phase 2. New Group Mode est un peu à part : Ce n'est ni un échange de phase 1, ni un échange de phase 2, mais il ne peut avoir lieu qu'une fois qu'une SA ISAKMP est établie ; il sert à se mettre d'accord sur un nouveau groupe pour de futurs échanges Diffie-Hellman.

La gestion des clefs pour IPSec IKE (Internet Key Exchange) Phase 1 : Main Mode et Aggressive Mode Les attributs suivants sont utilisés par IKE et négociés durant la phase 1 : un algorithme de chiffrement, une fonction de hachage, une méthode d'authentification et un groupe pour Diffie-Hellman. Trois clefs sont générées à l'issue de la phase 1 : une pour le chiffrement, une pour l'authentification et une pour la dérivation d'autres clefs. Ces clefs dépendent des cookies, des aléas échangés et des valeurs publiques Diffie- Hellman ou du secret partagé préalable. Leur calcul fait intervenir la fonction de hachage choisie pour la SA ISAKMP et dépend du mode d'authentification choisi.

La gestion des clefs pour IPSec IKE (Internet Key Exchange) Phase 2 : Quick Mode Les messages échangés durant la phase 2 sont protégés en authenticité et en confidentialité grâce aux éléments négociés durant la phase 1. L'authenticité des messages est assurée par l'ajout d'un bloc Hash après l'en-tête ISAKMP et la confidentialité est assurée par le chiffrement de l'ensemble des blocs du message. Quick Mode est utilisé pour la négociation de SA pour des protocoles de sécurité donnés comme IPSec. Chaque négociation aboutit en fait à deux SA, une dans chaque sens de la communication.

La gestion des clefs pour IPSec IKE (Internet Key Exchange) Les groupes : New Groupe Mode Le groupe à utiliser pour Diffie-Hellman peut être négocié, par le biais du bloc SA, soit au cours du Main Mode, soit ultérieurement par le biais du New Group Mode.

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back