Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Introduction à IPsec

Le contenu de IPsec Pour protéger les paquets en utilisant les mécanismes de chiffrement et IP fournit des contrôles d'intégrité authentifiant le contenu du paquet. Car IPsec s'exécute au niveau de la couche réseau, une application réseau peut tirer profit d'IPsec sans pour autant avoir à modifier sa configuration. Une utilisation à bon escient d'IPsec en fait un outil efficace de sécurisation du trafic réseau.

    IPsec emploie les termes suivants :

  • Protocoles de sécurité – La protection appliquée à un paquet IP. L'en-tête d'authentification (AH, Authentication Header) protège un paquet IP en y ajoutant un vecteur de contrôle d'intégrité (ICV, Integrity Check Vector), qui est un hachage du paquet entier y compris les en-têtes IP. Le destinataire est sûr que le paquet n'a pas été modifié. Il ne garantit pas la confidentialité avec chiffrement.

    protocole ESP protège la charge utile d'un paquet IP. Les données traitées (payload) d'un paquet peut être crypté pour fournir peut garantir l'intégrité des données relatives à la confidentialité et à l'aide d'un ICV.

  • Associations de sécurité (AS) – Les paramètres cryptographiques, les clés, le protocole de sécurité IP, les adresses IP, le protocole IP, les numéros de port et d'autres paramètres utilisés pour faire correspondre une certaine AS à un flux de trafic en particulier.

  • Base de données des associations de sécurité (SADB) – La base de données contenant les associations de sécurité. Les AS sont référencées par l'index du paramètre de sécurité, le protocole de sécurité et l'adresse IP de destination. Ces trois éléments identifient AS SA IPsec de manière unique. IP lorsqu'un système reçoit qui comporte des données d'un en-tête de paquet ESP ou AH IPsec, () pour le système effectue une recherche dans le SA correspondante dans un SADB. Si aucun des documents est trouvée, celle-ci est SA permet l'utilisation de décryptage et de vérification de la IPsec paquet. Pas de correspondance de en cas d'échec de la vérification ou SA est trouvée, le paquet est rejeté.

  • Gestion des clés – Génération et distribution sécurisée des clés qui utilisées par les algorithmes cryptographiques, ainsi que des AS où elles seront enregistrées.

  • Base de données des stratégies de sécurité (SPD) – La base de données qui spécifie la stratégie de sécurité à appliquer au trafic IP. La base de données SPD filtre le trafic et identifie le mode de traitement des paquets. Un paquet peut être ignoré ou passé au clair. Ou protégé à l'aide d'IPsec, c'est-à-dire la stratégie de sécurité est appliquée.

    En ce qui concerne les paquets sortants, la stratégie IPsec détermine si IPSec doit être appliqué à un paquet IP. Si IPsec est appliquée, le module IP SA permet de lancer des recherches dans la mise en correspondance SADB utilise pour l'EdC à élément de contrat ainsi que mettre en oeuvre la règle.

    Pour les paquets entrants, la stratégie IPsec permet de s'assurer que le niveau de protection d'un paquet reçu est appropriée. Si la stratégie IP requiert les paquets à partir d'une certaine IPsec adresse à protéger à l'aide de non protégé, le système supprime tous les paquets. Si un paquet sortant est protégé par IPsec, la recherche dans la IP SA module EdC et SADB s'applique pour l'élément de contrat correspondant au paquet.

Les applications peuvent appeler IPsec pour appliquer les mécanismes aux paquets IP au niveau de chaque socket. Lorsque la stratégie IPsec est appliquée à un port sur lequel un socket est déjà connecté, le trafic qui utilise ce socket ne bénéficie pas de la protection IPsec. Bien sûr, les sockets ouverts sur un port après l'application de la stratégie IPsec en bénéficient aussi.