JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Sécurisation du réseau dans Oracle Solaris 11.1     Oracle Solaris 11.1 Information Library (Français)
Oracle Technology Network
Bibliothèque
PDF
Aperçu avant impression
Commentaires
search filter icon
search icon

Informations document

Préface

1.  Utilisation de la protection des liens dans des environnements virtualisés

2.  Réglage du réseau (tâches)

3.  Serveurs Web et protocole SSL (Secure Sockets Layer)

4.  IP Filter dans Oracle Solaris (présentation)

5.  IP Filter (tâches)

6.  Architecture IPsec (présentation)

Introduction à IPsec

RFC IPsec

Terminologie IPsec

Flux de paquets IPsec

Associations de sécurité IPsec

Gestion des clés dans IPsec

Mécanismes de protection IPsec

En-tête d'authentification

ESP (Encapsulating Security Payload, association de sécurité)

Considérations de sécurité lors de l'utilisation de AH et ESP

Authentification et chiffrement dans IPsec

Algorithmes d'authentification dans IPsec

Algorithmes de chiffrement dans IPsec

Stratégies de protection IPsec

Modes Transport et Tunnel dans IPsec

Réseaux privés virtuels et IPsec

Passage de la translation d'adresses et IPsec

IPsec et SCTP

IPsec et les zones Oracle Solaris

IPsec et domaines logiques

Fichiers et utilitaires IPsec

7.  Configuration d'IPsec (tâches)

8.  Architecture IPsec (référence)

9.  Protocole IKE (présentation)

10.  Configuration du protocole IKE (tâches)

11.  Protocole IKE (référence)

Glossaire

Index

Mécanismes de protection IPsec

IPsec offre deux protocoles de sécurité dans le cadre de la protection des données :

AH protège les données à l'aide d'un algorithme d'authentification. ESP protège les données à l'aide d'un algorithme de chiffrement, mais ESP peut et doit être utilisé avec un mécanisme d'authentification. Si vous ne traversez pas de NAT, vous pouvez combiner ESP à AH. Autrement, vous pouvez utiliser un algorithme d'authentification et un mécanisme de chiffrement avec ESP. Un algorithme en mode combiné tel que AES-GCM fournit le chiffrement et l'authentification dans un seul algorithme.

En-tête d'authentification

L'en-tête d'authentification offre l'authentification des données, un niveau élevé d'intégrité et la protection de rediffusion des datagrammes IP. AH protège la majeure partie du datagramme IP. Comme l'illustre la figure suivante, AH est inséré entre l'en-tête IP et l'en-tête de transport.

image:Dans le graphique, l'en-tête AH apparaît entre les en-têtes IP et TCP.

L'en-tête de transport peut être TCP, UDP, SCTP ou ICMP. Dans le cas de l'utilisation d'un tunnel, l'en-tête de transport peut être un autre en-tête IP.

ESP (Encapsulating Security Payload, association de sécurité)

Le module protocole ESP assure la confidentialité des encapsulations ESP. ESP propose également les services AH. Toutefois, ESP n'offre sa protection qu'à la partie des datagrammes d'encapsulation ESP. ESP fournit des services d'authentification facultatifs afin d'assurer l'intégrité du paquet protégé. Du fait qu'ESP utilise une technologie de chiffrement, un système fournissant ESP peut être soumis à des lois sur le contrôle des importations et exportations.

ESP encapsule ses données de sorte à protéger uniquement les données figurant à la suite de son commencement dans le datagramme, comme illustré ci-dessous.

image:Dans le graphique, l'en-tête ESP apparaît entre les en-têtes IP et TCP. L'en-tête TCP est chiffré par l'en-tête ESP.

Dans un paquet TCP, ESP encapsule uniquement l'en-tête TCP et ses données. Si le paquet est un datagramme IP-in-IP, ESP protège le datagramme IP interne. La stratégie par socket permet l'auto-encapsulation. Ainsi, ESP peut encapsuler les options IP, le cas échéant.

Lorsque l'auto-encapsulation est définie, l'en-tête IP est copié afin de créer un datagramme IP-in-IP. Par exemple, lorsque l'auto-encapsulation n'est pas définie sur un socket TCP, le datagramme est envoyé dans le format suivant :

[ IP(a -> b) options + TCP + data ]

Lorsque l'auto-encapsulation est définie sur ce socket TCP, le datagramme est envoyé dans le format suivant :

[ IP(a -> b) + ESP [ IP(a -> b) options + TCP + data ] ]

Pour plus d'informations, reportez-vous à la section Modes Transport et Tunnel dans IPsec.

Considérations de sécurité lors de l'utilisation de AH et ESP

Le tableau suivant permet de comparer les protections AH et ESP.

Tableau 6-2 Protections assurées par AH et ESP dans IPsec

Protocole
Paquets protégés
Protection
Attaques contrées
AH
Protection des paquets de l'en-tête IP jusqu'à l'en-tête de transport
Intégrité élevée, authentification des données :

  • réception garantie des données exactes envoyées par l'expéditeur

  • attaques par rejeu possibles lorsqu'un AH n'active pas la protection par rejeu
Rejeu, couper-coller
Fournisseur de services aux entreprises
Protection des paquets figurant à la suite du début d'ESP dans le datagramme
Chiffrement de la charge utile IP à l'aide de l'option de chiffrement Confidentialité garantie
Ecoute électronique
Protection identique à la protection AH à l'aide de l'option d'authentification
Rejeu, couper-coller
Intégrité élevée, authentification des données et confidentialité à l'aide des deux options
Rejeu, couper-coller, écoute électronique

Authentification et chiffrement dans IPsec

Les protocoles de sécurité IPsec font appel à deux types d'algorithmes : les algorithmes d'authentification et les algorithmes de chiffrement. Le module AH recourt aux algorithmes d'authentification. Le module ESP peut utiliser aussi bien les algorithmes d'authentification que les algorithmes de chiffrement. La commande ipsecalgs affiche la liste des algorithmes présents sur le système, ainsi que leurs propriétés. Pour plus d'informations, reportez-vous à la page de manuel ipsecalgs(1M) Vous pouvez aussi utiliser les fonctions décrites dans la page de manuel getipsecalgbyname(3NSL)pour obtenir les propriétés des algorithmes.

IPsec utilise la structure cryptographique pour accéder aux algorithmes. Celle-ci offre un référentiel central d'algorithmes, en plus d'autres services. Elle permet à IPsec de tirer profit des accélérateurs cryptographiques hautes performances et

Pour plus d'informations, reportez-vous aux références suivantes :

Algorithmes d'authentification dans IPsec

Les algorithmes d'authentification génèrent une valeur de somme de contrôle d'intégrité, digest, à partir des données et d'une clé. Le module AH recourt aux algorithmes d'authentification. Le module ESP peut également y avoir recours.

Algorithmes de chiffrement dans IPsec

Les algorithmes de chiffrement chiffrent les données à l'aide d'une clé. Dans IPsec, le module ESP fait appel aux algorithmes de chiffrement. Les algorithmes agissent sur les données dans des unités d'une taille de bloc.

Copyright © 1999, 2013, Oracle et/ou ses affiliés. Tous droits réservés. Notice légale
Précédent Suivant