Modes Transport et Tunnel dans IPsec

Langue :

Les normes IPsec définissent deux modes de fonctionnement distincts pour IPsec : le mode transport et le mode tunnel. La principale différence entre le mode Tunnel et le mode Transport est l'emplacement d'application de la stratégie. En mode Tunnel, le packet d'origine est encapsulé dans une autre en-tête IP. Les adresses d'une autre en-tête peuvent être différentes.

Les paquets sont protégés par AH, ESP ou ces deux protocoles dans chaque mode. Les modes diffèrent dans l'application de la stratégie, comme suit :

En mode Transport, les adresses IP de l'en-tête externe sont utilisées pour déterminer la stratégie IPsec qui sera appliquée au paquet.
En mode Tunnel, deux en-têtes IP sont envoyés. Le paquet IP interne détermine la stratégie IPsec qui protège son contenu.

Le mode Tunnel peut être appliqué à toute combinaison de systèmes en fin de chaîne et de systèmes intermédiaires, telle que les passerelles de sécurité.

En mode transport, l'en-tête IP, l'en-tête suivant et tous les ports pris en charge par l'en-tête suivant peuvent être utilisés pour déterminer la stratégie IPsec. En fait, IPsec peut mettre en oeuvre différentes stratégies en mode Transport entre deux adresses IP au niveau d'un seul port. Par exemple, si l'en-tête suivant est un en-tête TCP, qui prend en charge les ports, la stratégie IPsec peut alors être définie pour un port TCP de l'adresse IP externe.

Le mode Tunnel ne fonctionne que pour les paquets IP-in-IP. En mode Tunnel, la stratégie IPsec est mise en oeuvre sur le contenu du paquet IP interne. Différentes stratégies IPsec peuvent être mises en oeuvre pour différentes adresses IP internes. En d'autres termes, l'en-tête IP interne, ainsi que son en-tête suivant et les ports que ce dernier prend en charge, peuvent mettre en oeuvre une stratégie. Contrairement au mode transport, le mode tunnel ne permet pas à l'en-tête IP extérieur de dicter la stratégie de son paquet IP interne.

Par conséquent, en mode Tunnel, la stratégie IPsec peut être spécifiée pour les sous-réseaux d'un LAN derrière un routeur et pour les ports de ces sous-réseaux. La stratégie IPsec peut également être spécifiée pour des adresses IP données (des hôtes) sur ces sous-réseaux. Les ports de ces hôtes peuvent aussi avoir une stratégie IPsec spécifique. Toutefois, si un protocole de routage dynamique est exécuté sur un tunnel, veillez à ne pas utiliser de sélection de sous-réseau ou d'adresse, car la vue de la topologie réseau sur le réseau homologue pourrait être modifiée. Les modifications annuleraient la stratégie IPsec statique. La section Protection d'un VPN à l'aide d'IPsec contient des exemples de mises en tunnel comprenant la configuration de routes statiques.

Dans Oracle Solaris, le mode tunnel peut être mise en oeuvre uniquement sur une interface réseau à mise en tunnel IP. Pour plus d'informations sur les interfaces de mise en tunnel reportez-vous au Chapitre 4, Administration de tunnels sur IP du manuel Administration des réseaux TCP/IP, d’IPMP et des tunnels IP dans Oracle Solaris 11.2 . La stratégie IPsec fournit un mot-clé tunnel pour sélectionner une interface réseau de mise en tunnel IP. Lorsque le mot-clé tunnel figure dans une règle, tous les sélecteurs spécifiés dans cette règle s'appliquent au paquet interne.

La figure suivante illustre un en-tête IP avec un paquet TCP non protégé.

Figure 6-3 Paquet IP non protégé transportant des informations TCP

image:Dans le graphique, l'en-tête IP est suivi de l'en-tête TCP. L'en-tête TCP n'est pas protégé.

En mode Transport, ESP protège les données, comme illustré ci-dessous. La zone ombrée indique la partie chiffrée du paquet.

Figure 6-4 Paquet IP protégé transportant des informations TCP

image:Dans le graphique, l'en-tête ESP apparaît entre les en-têtes IP et TCP. L'en-tête TCP est chiffré par l'en-tête ESP.

En mode tunnel, l'ensemble du paquet est à l'intérieur de l'en-tête ESP. Le paquet de la Figure 6–3 est protégé en mode tunnel par un en-tête IPsec externe, ESP dans ce cas, comme indiqué sur l'illustration suivante.

Figure 6-5 Paquet IPsec protégé en mode Tunnel

image:Le graphique illustre l'en-tête ESP après l'en-tête IP et avant un en-tête IP et un en-tête TCP. Les deux derniers en-têtes sont protégés par chiffrement.

La stratégie IPsec fournit des mots-clés pour le monde Tunel et Transport. Pour plus d'informations, reportez-vous aux références suivantes :

Pour plus d'informations sur la stratégie par socket, reportez-vous à la page de manuel ipsec(7P).
Pour obtenir un exemple de la stratégie par socket, reportez-vous à la section Utilisation d'IPsec pour protéger Web Server Communication avec d'autres serveurs.
Pour plus d'informations sur les tunnels, reportez-vous à la page de manuel ipsecconf(1M).
Pour un exemple de configuration de tunnel, reportez-vous à la section Protection de la connexion entre deux réseaux locaux à l'aide d'IPsec en mode Tunnel.