IPSec est un protocole défini par l'IETF permettant de sécuriser les
échanges au niveau de la couche réseau. Il s'agit en fait d'un protocole
apportant des améliorations au niveau de la sécurité au protocole IP afin de
garantir la confidentialité, l'intégrité et l'authentification des échanges.
Il existe deux modes pour IPSec :
·
le mode transport permet de protéger
principalement les protocoles de niveaux supérieurs :
o
IPSec récupère les données venant de la couche 4
(TCP/transport), les signe et les crypte puis les envoie à la couche 3
(IP/réseau). Cela permet d'être transparent entre la couche TCP et la couche IP
et du coup d'être relativement facile à mettre en place.
o
Il y a cependant plusieurs inconvénients :
- l'entête
IP est produite par la couche IP et donc IPSec ne peut pas la contrôler dans ce
cas.
- Il
ne peut donc pas masquer les adresses pour faire croire à un réseau LAN virtuel
entre les deux LAN reliés
- cela
ne garantie donc pas non plus de ne pas utiliser des options Ips non voulues
·
le mode tunnel permet d'encapsuler des
datagrammes IP dans des datagrammes IP
o
les paquets descendent dans la pile jusqu'à la
couche IP et c'est la couche IP qui passe ses données à la couche IPSec. Il y a
donc une entête IP encapsulée dans les données IPSec et une entête IP réelle
pour le transport sur Internet (on pourrait imaginer que ce transport se fasse
sur de l'IPX ou NetBIOS puisqu'il n'y a pas de contrainte dans ce mode)
o
Cela a beaucoup d'avantages :
- l'entête
IP réelle est produite par la couche IPSec. Cela permet d'encapsuler une entête
IP avec des adresses relative au réseau virtuel et en plus de les crypter de
façon à être sûr qu'elles ne sont pas modifiées.
- On a
donc des adresses IP virtuelles donc tirant partie au mieux du concept de VPN
- On a
le contrôle total sur l'entête IP produite par IPSec pour encapsuler ses
données et son entête IPSec.
Pour en savoir plus, téléchargez le cours depuis ces liens :
0 commentaires:
Enregistrer un commentaire