Pour protéger les paquets IP, IPsec les chiffre et/ou les authentifie. IPsec s'exécute au sein du module IP, bien en dessous de la couche d'application. Par conséquent, une application Internet peut tirer profit d'IPsec sans pour autant avoir à modifier sa configuration. Une utilisation à bon escient d'IPsec en fait un outil efficace de sécurisation du trafic réseau.
La protection IPsec implique cinq composants principaux :
Protocoles de sécurité : les mécanismes de protection de datagramme IP. L'en-tête d'authentification (AH, Authentication Header) signe les paquets IP et garantit leur intégrité. Bien que le contenu du datagramme ne soit pas chiffré, le destinataire est sûr que le contenu du paquet n'a subi aucune modification et que l'expéditeur a envoyé les paquets. protocole ESP chiffre les données IP et obscurcit, par conséquent, le contenu des paquets lors de leur transmission. ESP garantit également l'intégrité des données par le biais d'une option d'algorithme d'authentification.
SADB (Security Associations Database, base de données des associations de sécurité) : base de données qui associe un protocole de sécurité à une adresse IP de destination et un numéro d'indexation. Ce numéro d'indexation est appelé index du paramètre de sécurité. Ces trois éléments (protocole de sécurité, adresse de destination et SPI) identifient un seul paquet IPsec légitime. La base de données garantit que le paquet protégé est reconnu par le récepteur à son arrivée. Elle permet également au récepteur de déchiffrer la communication, de vérifier que les paquets n'ont pas été altérés, de rassembler les paquets et de livrer les paquets à leur destination finale.
Gestion des clés : génération et distribution des clés des algorithmes de chiffrement et de SPI.
Mécanismes de sécurité : algorithmes de chiffrement et d'authentification qui protègent les données des datagrammes IP.
SPD (Security Policy Database, base de données de stratégie de sécurité) : base de données indiquant le niveau de protection à appliquer à un paquet. La base de données SPD filtre le trafic IP et identifie le mode de traitement des paquets. Un paquet peut être rejeté, passé au clair ou protégé à l'aide d'IPsec. En ce qui concerne les paquets sortants, les bases de données SPD et SADB déterminent le niveau de protection à appliquer. Pour les paquets entrants, la base de données SPD permet de déterminer l'acceptabilité du niveau de protection. Si le paquet est protégé par IPsec, une consultation de la base de données SPD est effectuée après déchiffrement et vérification du paquet.
IPsec applique les mécanismes de sécurité aux datagrammes IP circulant en direction de l'adresse IP de destination. À l'aide des informations contenues dans la base de données SADB, le destinataire vérifie que les paquets entrants sont légitimes et les déchiffre. Les applications peuvent appeler IPsec pour appliquer les mécanismes aux datagrammes IP au niveau de chaque socket.
Notez que le comportement des sockets diffère en fonction des ports :
Les SA par socket remplacent leur entrée de port correspondante dans la base de données SPD.
Par ailleurs, lorsque la stratégie IPsec est appliquée à un port sur lequel un socket est déjà connecté, le trafic qui utilise ce socket ne bénéficie pas de la protection IPsec.
En revanche, les sockets ouverts sur un port après l'application de la stratégie IPsec en bénéficient aussi.
Le groupe IETF (Internet Engineering Task Force) a publié un certain nombre de documents RFC (Request for Comments, demande de commentaires) décrivant l'architecture de sécurité de la couche IP. Tous les RFC constituent la propriété intellectuelle de l'Internet Society. Pour plus d'informations sur les RFC, reportez-vous au site Web http://ietf.org/. Les références de sécurité IP les plus générales sont couvertes par les RFC suivants :
RFC 2411, "IP Security Document Roadmap", novembre 1998 ;
RFC 2401, "Security Architecture for the Internet Protocol", novembre 1998 ;
RFC 2402, "IP Authentication Header", novembre 1998 ;
RFC 2406, "IP Encapsulating Security Payload (ESP)", novembre 1998 ;
RFC 2408, "Internet Security Association and Key Management Protocol (ISAKMP)", novembre 1998 ;
RFC 2407, "The Internet IP Security Domain of Interpretation for ISAKMP", novembre 1998 ;
RFC 2409, "The Internet Key Exchange (IKE)", novembre 1998 ;
RFC 3554, "On the Use of Stream Control Transmission Protocol (SCTP) with IPsec", juillet 2003 [ non implémenté dans la version Solaris10 ].
Les documents RFC IPsec définissent un certain nombre de termes qui s'avèrent utiles lors de l'implémentation d'IPsec sur des systèmes. Les tableaux suivants répertorient les termes IPsec, leur acronyme et leur définition. Le Tableau 22–1 dresse la liste des termes de négociation de clé.
Tableau 19–1 Termes IPsec, acronymes et usages
Terme IPsec |
Acronymes |
Définition |
---|---|---|
Association de sécurité |
SA (Security Association) |
Connexion unique entre deux nœuds sur un réseau. La connexion est définie par les trois éléments suivants : un protocole de sécurité, un index de paramètre de sécurité et une destination IP. La destination IP peut être une adresse IP ou un socket. |
Base de données d'associations de sécurité |
SADB (Security Associations Database) |
Base de données contenant toutes les associations de sécurité actives. |
Index de paramètre de sécurité |
SPI (Security Parameter Index) |
Valeur d'indexation d'une association de sécurité. Une SPI est une valeur 32 bits qui différencie les SA partageant une destination IP et un protocole de sécurité. |
SPD (Security Policy Database) |
Base de données déterminant si les paquets entrants et sortants présentent le niveau de protection spécifié. |
|
Échange de clés |
|
Processus de génération de clés pour les algorithmes cryptographiques asymétriques. Les principales méthodes utilisées sont les protocoles RSA et Diffie-Hellman. |
Protocole Diffie-Hellman |
DH |
Protocole d'échange de clés impliquant la génération et l'authentification de clés et souvent appelé échange de clés authentifiées. |
Protocole RSA |
RSA |
Protocole d'échange de clés impliquant la génération et la distribution de clés, Ce protocole porte le nom de ses trois créateurs : Rivest, Shamir et Adleman. |
Association de sécurité Internet et protocole de gestion des clés |
ISAKMP (Internet Security Association and Key Management Protocol) |
Structure courante d'établissement du format des attributs SA, et de négociation, modification et suppression des SA. ISAKMP est le standard IETF de gestion des SA IPsec. |