Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

ESP (Encapsulating Security Payload, association de sécurité)

Le module protocole ESP assure la confidentialité des encapsulations ESP. ESP propose également les services AH. Toutefois, externe ESP IP ne protège pas l'en-tête . ESP fournit des services d'authentification afin d'assurer l'intégrité du paquet protégé. Du fait qu'ESP utilise une technologie de chiffrement, un système fournissant ESP peut être soumis à des lois sur le contrôle des importations et exportations.

L'en-tête et le bloc de fin ESP encapsulent la charge utile IP. Est utilisé avec ESP lorsque le chiffrement, il est appliqué les données traitées (payload) uniquement sur les IP, comme illustré ci-dessous .

image:Dans le graphique, l'en-tête ESP apparaît entre les en-têtes IP et TCP. L'en-tête TCP est chiffré par l'en-tête ESP.

Le paquet dans un en-tête TCP est authentifié, et qu'il ESP encapsule les en-tête TCP et ses données. S'il s'agit d'un paquet IP-in-IP, ESP protège le paquet IP interne. La stratégie par socket permet l'auto-encapsulation. Ainsi, ESP peut encapsuler les options IP, le cas échéant.

L'auto-encapsulation peut être utilisé en écrivant un programme utilisant la fonction setsockopt(). Lorsque l'auto-encapsulation est définie, l'en-tête IP est copié afin de créer un paquet IP-in-IP. Par exemple, lorsque l'auto-encapsulation n'est pas définie sur un socket TCP, le paquet est envoyé au format suivant :

[ IP(a -> b) options + TCP + data ]

Lorsque l'auto-encapsulation est définie sur ce socket TCP, le paquet est envoyé au format suivant :

[ IP(a -> b) + ESP [ IP(a -> b) options + TCP + data ] ]

Pour plus d'informations, reportez-vous à la section Modes Transport et Tunnel dans IPsec.

Considérations de sécurité lors de l'utilisation de AH et ESP

Le tableau ci-dessous compare les protections fournies par AH et ESP sont fournis par.

Table 6-1  Protections assurées par AH et ESP dans IPsec
Protocole
Paquets protégés
Protection
Attaques contrées
AH
Protection des paquets de l'en-tête IP à la fin de la transporter les données
Intégrité élevée, authentification des données :

  • réception garantie des données exactes envoyées par l'expéditeur

  • attaques par rejeu possibles lorsqu'un AH n'active pas la protection par rejeu

Rejeu, couper-coller
ESP
Protection des paquets de l'ESP à la fin de l'en-tête de données de transport
Chiffrement de la charge utile IP à l'aide de l'option de chiffrement Confidentialité garantie
Ecoute électronique
Protection identique à la protection AH à l'aide de l'option d'authentification
Rejeu, couper-coller
Intégrité élevée, authentification des données et confidentialité à l'aide des deux options
Rediffusion, couper-coller, écoute électronique
Copyright © 1999, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant