Voir Triple-DES.
Standard de chiffrement avancé (Advanced Encryption Standard). Technique de chiffrement de données symétrique par blocs. Le gouvernement des Etats-Unis a adopté la variante Rijndael de l'algorithme comme norme de chiffrement en octobre 2000. AES remplace le chiffrement Standard de chiffrement de données (DES) comme norme administrative.
Système de chiffrement dans lequel l'expéditeur et le destinataire du message utilisent différentes clés pour chiffrer et déchiffrer le message. Les clés asymétriques servent à établir un canal sécurisé pour le chiffrement par clé symétrique. L'algorithme Diffie-Hellman est un exemple de protocole de clé asymétrique. Voir aussi cryptographie symétrique.
En-tête d'extension assurant l'authentification et l'intégrité des paquets IP, mais pas leur confidentialité.
Algorithme de chiffrement par bloc symétrique de longueur de clé variable (entre 32 et 448 bits). Son créateur, Bruce Schneier, affirme que Blowfish est optimisé pour les applications pour lesquelles la clé n'a pas besoin d'être régulièrement modifiée.
Adresses réseau IPv4 avec la partie hôte de l'adresse ne comportant que des zéros (10.50.0.0) ou des valeurs à un bit (10.50.255.255). Un paquet envoyé à une adresse de diffusion à partir d'un ordinateur situé sur le réseau local est transmis à tous les ordinateurs reliés au réseau.
Organisation ou société « tiers de confiance » publiant des certificats numériques utilisés pour créer des signatures numériques et des biclés. L'Autorité de certification (CA) garantit l'identité d'une personne ayant reçu un certificat unique.
Liste des certificats de clés publiques ayant fait l'objet d'une révocation par une CA. Les listes de certificats révoqués sont stockées dans la base de données des listes de certificats révoqués, gérée par IKE.
Dans les certificats X.509, la garantie par l'autorité de certification que depuis l'ancre sécurisée au certificat de l'utilisateur, tous les certificats présentent une chaîne d'authentification ininterrompue.
Voir paquet IP.
Standard de chiffrement de données (Data Encryption Standard). Méthode de chiffrement à clé symétrique développée en 1975 et standardisée par l'ANSI en 1981 comme ANSI X.3.92. Le DES utilise une clé de 56 bits.
Code numérique associé à un message électronique qui identifie l'expéditeur de manière unique.
Méthode normalisée pour représenter à l'aide de chaînes d'informations partagées. LDAP des noms distinctifs (DN) et dans sont utilisées dans les certificats X.509, ainsi que dans d'autres technologies. Pour plus d'informations, reportez-vous à A String Representation of Distinguished Names
Un DOI (Domain of Interpretation, domaine d'interprétation) définit les formats de données, les types d'échange du trafic réseau ainsi que les conventions d'appellation des informations liées à la sécurité. Les stratégies de sécurité, les algorithmes et les modes cryptographiques sont toutes des informations ayant trait à la sécurité.
algorithme de signature numérique (Digital Signature Algorithm) Algorithme de clé publique dont la longueur de clé varie de 512 à 4 096 bits. La norme du gouvernement américain, DSS, atteint 1 024 bits. L'algorithme DSA repose sur l'algorithme SHA-1 en entrée.
Egalement appelé cryptographie par clé publique. Un protocole d'accord de clés cryptographiques asymétriques a été mis au point par Diffie et Hellman en 1976. Ce protocole permet à deux utilisateurs d'échanger une clé secrète via un moyen non sécurisé sans secrets préalables. Diffie-Hellman est utilisé par le protocole IKE.
Algorithme de signature numérique de courbe elliptique. Algorithme de clé publique basé sur une courbe elliptique mathématique. La taille d'une clé ECDSA est de beaucoup plus petite que celle d'une clé publique DSA nécessaire pour générer une signature de la même longueur.
Extension de l'en-tête assurant l'intégrité et la confidentialité des paquets. ESP est l'un des cinq composants de l'architecture de sécurité IP (IPsec).
Processus selon lequel un en-tête et une charge utile sont placés dans le premier paquet, puis insérés dans la charge utile du deuxième paquet.
Dispositif ou logiciel prévu pour isoler le réseau privé ou le réseau intranet d'une organisation d'Internet, afin de le protéger contre d'éventuelles intrusions. Un pare-feu peut inclure le filtrage de paquets, des serveurs proxy et les valeurs NAT (Network Address Translation, translation d'adresse réseau).
Nombre généré à partir d'une chaîne de texte. Les fonctions de hachage garantissent que les messages transmis n'ont pas été sabotés. MD5 et SHA-1 sont des exemples de fonctions de hachage unidirectionnel.
Méthode de hachage à clé pour l'authentification de messages. HMAC est un algorithme d'authentification à clé secrète. HMAC est utilisé avec une fonction de repère cryptographique répétitive, telle que MD5 ou SHA-1, combinée avec une clé secrète partagée. La puissance cryptographique de HMAC dépend des propriétés de la fonction de repère sous-jacente.
Paquet transmis à une machine sur Internet en vue de solliciter une réponse. De tels paquets sont communément appelés paquets "ping".
Internet Key Exchange, échange de clé Internet. IKE automatise la mise en service de matériel d'identification authentifié pour les associations de sécurité IPsec.
Méthode ou protocole utilisé pour envoyer les données d'un ordinateur à l'autre via Internet.
Paquet d'informations transporté par IP. Un paquet IP contient un en-tête et des données. L'en-tête inclut les adresses de la source et de la destination du paquet. Les autres champs de l'en-tête permettent d'identifier et de recombiner les données avec les paquets associés lorsqu'ils arrivent à destination.
Vingt octets de données identifiant de manière unique un paquet Internet. L'en-tête inclut l'adresse source et l'adresse de destination du paquet. Une partie facultative de l'en-tête permet d'insérer des octets supplémentaires.
Utilitaire ou moyen de communication à l'aide duquel les noeuds peuvent communiquer dans la couche liaison. La couche liaison se trouve immédiatement sous IPv4/IPv6. Les réseaux Ethernet (simple ou reliés par un pont) ou les réseaux ATM sont des exemples de liaisons IP. Une liaison IP est définie par un ou plusieurs numéros ou préfixes de masque de sous-réseau IPv4. Un même numéro ou préfixe de masque de sous-réseau ne peut pas être attribué à plusieurs liaisons IP. Dans le système ATM LANE, une liaison IP est un LAN à émulation simple. Lorsque vous utilisez le système ARP, la portée du protocole ARP correspond à une liaison IP simple.
TCP/IP est souvent appelé une "pile". Ce terme fait référence aux couches (TCP, IP et parfois d'autres) par lesquelles transitent toutes les données aux extrémités client et serveur d'un échange de données.
Protocole Internet, version 4. IPv4 est parfois appelé IP. Cette version prend en charge un espace d'adressage à 32 bits.
Nom qu'un administrateur attribue à une zone de stockage, ou keystore, sur une NIC. Le nom du keystore est également appelé jeton ou ID de jeton.
1. Un mot-clé d'une règle IKEv2 dont la valeur doit correspondre à la valeur du mot-clé label dans un fichier de clés prépartagées si auth_method est preshared.
2. Mot-clé utilisé lors de la création d'un certificat IKEv2. Cette valeur est pratique permettant de localiser toutes les parties du certificat (clé privée, la clé publique et dans le certificat de clé publique keystore).
(3. MAC A d'accès obligatoire) bon indicateur de contrôle le niveau de confidentialité d'un objet ou d'un business process. Confidentiel et Top Secret sont des exemples d'étiquettes. Les transmissions réseau étiquetées contiennent des étiquettes MAC.
4. Mot-clé d'une règle IKEv1 dont la valeur est utilisée pour obtenir la règle.
Dans IPv6, désignation utilisée en guise d'adresse d'une liaison simple lors d'une configuration d'adresse automatique, par exemple. Par défaut, l'adresse lien-local est créée à partir de l'adresse MAC du système.
1. Module de l'architecture diffserv et IPQoS attribuant une valeur au champ DS d'un paquet IP. Cette valeur indique la manière dont est traité le paquet. Dans l'implémentation IPQoS, le module marqueur est dscpmk.
2. Module dans l'implémentation IPQoS qui marque l'indicateur de réseau local virtuel d'un paquet Ethernet par une valeur de priorité utilisateur. La valeur de priorité utilisateur indique comment les paquets sont transmis sur un réseau comportant des périphériques VLAN. Ce module est appelé dlcosmk.
Fonction de hachage cryptographique répétitive utilisée pour authentifier les messages, y compris les signatures numériques. Elle a été développée en 1991 par Rivest.
MAC garantit l'intégrité des données et authentifie leur origine. MAC ne protège aucunement contre l'écoute frauduleuse des informations échangées.
Adresse IPv6 identifiant un groupe d'interfaces d'une manière particulière. Un paquet envoyé à une adresse de multidiffusion est diffusé à toutes les interfaces du groupe. La fonctionnalité de l'adresse de multidiffusion IPv6 est similaire à celle de l'adresse de diffusion IPv4.
Système doté de plusieurs interfaces physiques et qui ne transfère pas les paquets. Un hôte à multihébergement peut exécuter des protocoles de routage.
Traduction d'une adresse IP utilisée au sein d'un réseau sous une adresse IP différente connue au sein d'un autre réseau. Cette technique sert à limiter le nombre d'adresses IP globales nécessaires.
Network Interface Card, carte d'interface réseau. Carte réseau jouant le rôle d'interface d'un réseau. Certaines NIC ont plusieurs interfaces physiques. C'est le cas des cartes igb.
Groupe d'informations transmis sous forme d'une unité sur les lignes de communications. Un paquet contient un en-tête IP et une charge utile.
Fonction de pare-feu pouvant être configurée pour autoriser ou interdire le transit de paquets particuliers via un pare-feu.
Voir en-tête IP.
Données transportées dans un paquet. La charge utile n'inclut pas les informations d'en-tête nécessaires pour amener le paquet à destination.
Perfect Forward Secrecy, secret rigoureux des transmission .Avec la fonction PFS, la clé visant à protéger la transmission des données n'est pas utilisée pour dériver d'autres clés. Il en est de même pour la source de la clé. Par conséquent, PFS peut empêcher le déchiffrement du trafic précédemment enregistré.
PFS s'applique à l'échange de clés authentifiées uniquement. Voir aussi algorithme Diffie-Hellman.
Mode de raccordement d'un système à une liaison. Ce mode de raccordement est souvent mis en oeuvre sous la forme d'un pilote de périphérique et d'une NIC. Certaines cartes d'interface réseau (igb, par exemple) peuvent disposer de plusieurs points de connexion.
Infrastructure à clé publique. Système de certificats numériques, d'autorités de certification et d'autres autorités d'enregistrement prévu pour vérifier et authentifier la validité de chaque partie impliquée dans une transaction Internet.
Serveur faisant l'interface entre une application client (telle qu'un navigateur Web) et un autre serveur. Ce type de serveur permet de filtrer les demandes afin d'interdire l'accès à certains sites Web, par exemple.
Système cryptographique utilisant deux clés différentes : une clé publique connue de tous et une clé privée présentée exclusivement au destinataire du message. IKE fournit des clés publiques à IPsec.
Dans IPsec, attaque impliquant la capture d'un paquet par un intrus. Le paquet stocké remplace ou réplique l'original par la suite. Pour se protéger contre ce type d'attaque, il suffit que le paquet contienne un champ qui s'incrémente pendant la durée de vie de la clé secrète assurant la sécurité du paquet.
Système généralement composé de plusieurs interfaces ayant pour fonction d'exécuter des protocoles de routage et de transférer des paquets. Vous pouvez configurer un système à une seule interface en guise de routeur à condition que le système se trouve à l'extrémité d'une liaison PPP.
Processus selon lequel les routeurs annoncent leur présence (avec divers paramètres de connexion et paramètres Internet) de façon périodique ou en réponse à un message de sollicitation d'un routeur.
Processus selon lequel les hôtes localisent des routeurs résidant sur une liaison directe.
Processus selon lequel les hôtes demandent à des routeurs de générer immédiatement des publications du routeur, et non pas lors de la prochaine exécution programmée.
Méthode permettant d'obtenir des signatures numériques et des systèmes de cryptographie par clé publique. Cette méthode datant de 1978 a été décrite par trois développeurs (Rivest, Shamir et Adleman).
Security Associations Database, base de données des associations de sécurité. Table définissant les clés cryptographiques et les algorithmes cryptographiques. Les clés et les algorithmes ont pour intérêt de sécuriser la transmission des données.
SA, Security Association. Association définissant les propriétés en matière de sécurité entre un premier hôte et un deuxième hôte.
SPI, Security Parameter Index. Nombre entier indiquant la rangée de la SADB qui permettra au récepteur de décrypter un paquet reçu.
SPD, Security Policy Database. Base de données définissant le niveau de protection à appliquer à un paquet. La base de données SPD filtre le trafic IP afin de déterminer s'il est nécessaire de rejeter un paquet, de le transmettre en clair ou de le protéger avec IPsec.
Secure Hashing Algorithm, algorithme de hachage sécurisé. L'algorithme s'applique à toute longueur d'entrée inférieure à 264 afin d'obtenir une synthèse des messages. L'algorithme SHA-1 sert d'entrée à l'algorithme DSA.
Attaque consistant à envoyer à distance des paquets de demande d'écho ICMP à une adresse de diffusion IP ou à plusieurs adresses de diffusion dans le but de congestionner le réseau ou de provoquer de graves interruptions de service.
Action d'espionner les communications des réseaux informatiques. Cette technique est fréquemment employée avec des programmes automatisés pour extirper hors ligne des informations telles que des mots de passe en clair.
Action d'accéder par intrusion à un ordinateur en envoyant un message avec une adresse IP provenant prétendument d'un hôte de confiance. Pour ce faire, un pirate doit d'abord utiliser différentes techniques pour identifier l'adresse IP d'un hôte de confiance, puis modifier les en-têtes de paquets pour donner l'impression que les paquets proviennent de cet hôte.
filtrage de paquets permettant de contrôler l'état des connexions actives et d'identifier, à l'aide des informations obtenues, les paquets du réseau autorisés à franchir le pare-feu. En assurant le suivi et la coordination des requêtes et des réponses, un filtre de paquets sans état a la possibilité d'écarter une réponse non satisfaisante.
SCTP, Stream Control Transport Protocol. Protocole de la couche transport assurant des communications orientées connexion sous une forme similaire au protocole TCP. De plus, SCTP gère le multihébergement (une des extrémités de la connexion peut être associée à plusieurs adresses IP).
Système de chiffrement dans lequel l'expéditeur et le destinataire d'un message partagent une clé unique commune. Cette clé commune sert au chiffrement et au déchiffrement du message. Les clés symétriques permettent de chiffrer l'ensemble de la transmission de données dans IPsec. AES est un exemple de cryptographie par clé symétrique.
Transmission Control Protocol/Internet Protocol, protocole de contrôle de la transmission/protocole Internet. TCP/IP est le langage de communication ou protocole de base sur Internet. Il peut également servir de protocole de communication sur un réseau privé (intranet ou extranet).
Triple-Data Encryption, triple chiffrement des données. Méthode de chiffrement par clé symétrique. Elle nécessite une clé de 168 bits. L'abréviation de Triple-DES est 3DES.
Dans de certificats X.509, le certificat root de l'autorité de certification. Les certificats du certificat root au certificat final établissent une chaîne de confiance.
Chemin suivi par un paquet pendant son encapsulation. Voir encapsulation.
Dans IPsec, un tunnel configuré est une interface point à point. Le tunnel permet l'encapsulation d'un paquet IP dans un autre paquet IP.
Interface réseau permettant de renvoyer le trafic vers le niveau Ethernet (liaison de données) de la pile de protocole IP.
Regroupement de ressources et fonctionnalités réseau logicielles et matérielles gérées en tant qu'entité logicielle unique. Un réseau virtuel interne regroupe les ressources réseau sur un seul système, parfois appelé "réseau en boîte".