Difference between revisions of "Protection de la signalisation par le protocole IPsec"

From Livre IPv6

(IPsec dans les mises à jour d'association entre le n?ud mobile et son agent mère)
m
 
(8 intermediate revisions by 2 users not shown)
Line 1: Line 1:
 
+
{{suivi| Sécurisation de la signalisation avec les noeuds correspondants | Sécurisation de la signalisation avec les noeuds correspondants | Amélioration de la gestion de la mobilité IPv6 | Amélioration de la gestion de la mobilité IPv6 }}
 
=== Utilisation du protocole IPsec dans MIPv6 ===
 
=== Utilisation du protocole IPsec dans MIPv6 ===
  
Le protocole IPsec nécessite la connaissance réciproque des clefs entre les correspondants. Le noeud mobile et son agent mère appartenant à la même organisation, il est raisonnable d'admettre qu'ils auront pu échanger leurs clefs en toute sécurité sans la mise en place d'une lourde infrastructure de gestion de clefs. L'utilisation d'IPsec entre le n?ud mobile et son agent mère est donc tout à fait adaptée. Elle n'utilise que ESP en mode tunnel ou transport. La position des en-tête ESP sera choisie de façon à protéger également les informations de routage sans avoir recours à IPsec en mode AH, d'où une simplification de l'implémentation de la mobilité.
+
Le protocole IPsec nécessite la connaissance réciproque des clefs entre les correspondants. Le noeud mobile et son agent mère appartenant à la même organisation, il est raisonnable d'admettre qu'ils auront pu échanger leurs clefs en toute sécurité sans la mise en place d'une lourde infrastructure de gestion de clefs. L'utilisation d'IPsec entre le noeud mobile et son agent mère est donc tout à fait adaptée. Elle n'utilise que ESP en mode tunnel ou transport. La position des en-tête ESP sera choisie de façon à protéger également les informations de routage sans avoir recours à IPsec en mode AH, d'où une simplification de l'implémentation de la mobilité.
  
 
Le protocole IPsec est utilisé dans trois types de communications entre le noeud mobile et son agent mère :
 
Le protocole IPsec est utilisé dans trois types de communications entre le noeud mobile et son agent mère :
Line 12: Line 12:
 
L'efficacité d'une procédure de sécurité repose largement sur la qualité des politiques mises en oeuvre. Cet ouvrage n'étant pas un ouvrage sur la sécurité il n'est pas possible de détailler les politiques recommandées pour la gestion de la mobilité (voir RFC 3776).
 
L'efficacité d'une procédure de sécurité repose largement sur la qualité des politiques mises en oeuvre. Cet ouvrage n'étant pas un ouvrage sur la sécurité il n'est pas possible de détailler les politiques recommandées pour la gestion de la mobilité (voir RFC 3776).
  
===IPsec dans les mises à jour d'association entre le n?ud mobile et son agent mère===
+
===IPsec dans les mises à jour d'association entre le noeud mobile et son agent mère===
  
 
L'essentiel du problème consiste à garantir l'origine de la demande de mise à jour ainsi que sa valeur. ESP sera utilisé en mode transport. C'est-à-dire que le packet ESP ne contient qu'une signature des données qu'il encapsule (cf. figure IPsec en mode tranport pour les mises à jour d'association de mobilité).
 
L'essentiel du problème consiste à garantir l'origine de la demande de mise à jour ainsi que sa valeur. ESP sera utilisé en mode transport. C'est-à-dire que le packet ESP ne contient qu'une signature des données qu'il encapsule (cf. figure IPsec en mode tranport pour les mises à jour d'association de mobilité).
  
[[image:CS167.gif]]
+
Lors d'une demande de mise à jour, la care-of address est répétée dans l'option ''alternate care-of address'' de la demande de mise à jour. Comme sa valeur est certifiée par ESP, l'agent mère considèrera cette adresse plutôt que l'adresse source de l'en-tête IPv6. L'adresse de l'agent mère de l'en-tête n'est pas protégée par ESP, elle est garantie par les règles d'utilisation de l'adresse de l'agent mère lors de l'établissement de l'association de sécurité entre le noeud mobile et l'agent mère.
  
Lors d'une demande de mise à jour, la care-of address est répétée dans l'option alternate care-of address de la demande de mise à jour. Comme sa valeur est certifiée par ESP, l'agent mère considèrera cette adresse plutôt que l'adresse source de l'en-tête IPv6. L'adresse de l'agent mère de l'en-tête n'est pas protégée par ESP, elle est garantie par les règles d'utilisation de l'adresse de l'agent mère lors de l'établissement de l'association de sécurité entre le noeud mobile et l'agent mère.
+
Enfin, lorsqu'un noeud mobile est dans son réseau mère, l'en-tête option destination ainsi que l'en-tête de routage peuvent être omises puisque le noeud mobile peut utiliser son adresse mère. Ce sera le cas notamment quand le noeud mobile de retour dans son réseau mère, demande la destruction de son association.
  
Enfin, lorsqu'un n?ud mobile est dans son réseau mère, l'en-tête option destination ainsi que l'en-tête de routage peuvent être omises puisque le noeud mobile peut utiliser son adresse mère. Ce sera le cas notamment quand le noeud mobile de retour dans son réseau mère, demande la destruction de son association.
+
[[image:T13-22.gif]]
 
+
IPsec en mode transport pour les mises à jour d'association de mobilité
+
  
 
===IPsec dans la procédure de "retour de routage" via l'agent mère===
 
===IPsec dans la procédure de "retour de routage" via l'agent mère===
  
L'essentiel du problème est d'éviter qu'un n?ud malveillant puisse écouter les échanges conduisant au n?ud mobile à calculer la clef Kbm avec le n?ud correspondant. Les informations home init cookie et home keygen token doivent donc être chiffrées. ESP est ici utilisé en mode tunnel. L'algorithme de chiffrement utilisé dans l'association ne doit donc pas être nul (cf. See IPsec en mode tunnel pour la procédure de retour de routage).
+
L'essentiel du problème est d'éviter qu'un noeud malveillant puisse écouter les échanges conduisant au noeud mobile à calculer la clef <tt>Kbm</tt> avec le noeud correspondant. Les informations ''home init cookie'' et ''home keygen token'' doivent donc être chiffrées. ESP est ici utilisé en mode tunnel. L'algorithme de chiffrement utilisé dans l'association ne doit donc pas être nul (cf. figure IPsec en mode tunnel pour la procédure de retour de routage).
 
+
On notera également que lorsque le n?ud mobile change d'adresse temporaire, l'agent mère devra mettre à jour l'association de sécurité pour prendre en compte cette nouvelle adresse destination du n?ud mobile.
+
IPsec en mode tunnel pour la procédure de retour de routage
+
 
+
En-tête IPv6
+
+
 
+
En-tête suivant: 60
+
+
 
+
+
+
 
+
Entête IPV6
+
+
 
+
Entête suivant: 43
+
 
+
SRC: care-of address du n?ud mobile
+
 
+
DST: adresse de l'agent mère
+
+
 
+
+
+
 
+
SRC: adresse de l'agent mère
+
 
+
DST: care-of address du n?ud mobile
+
 
+
+
 
+
En-tête ESP (en mode tunnel)
+
+
 
+
+
+
 
+
Entête ESP (en mode tunnel)
+
 
+
+
 
+
+
+
 
+
En-tête IPV6
+
+
 
+
En-tête suivant: 135
+
+
 
+
+
+
 
+
+
+
 
+
Entête IPV6
+
+
 
+
Ent-ête suivant: 135
+
 
+
SRC: home address du n?ud mobile
+
 
+
DST: adresse du n?ud correspondant
+
+
 
+
SRC: home address du n?ud mobile
+
 
+
DST: adresse du home agent
+
 
+
En-tête de mobilité
+
 
+
Initialisation du test de la home address
+
 
+
home address cookie
+
+
 
+
En-tête de mobilité
+
 
+
Test de la home adress
+
 
+
home address cookie
+
 
+
home keygen token
+
 
+
+
+
 
+
En-tête suivant: 41
+
+
 
+
+
 
+
+
+
 
+
+
+
  
+
On notera également que lorsque le noeud mobile change d'adresse temporaire, l'agent mère devra mettre à jour l'association de sécurité pour prendre en compte cette nouvelle adresse destination du noeud mobile.
+
  
En-tête suivant: 41
+
[[image:T13-23.gif]]
 +
{{suivi| Sécurisation de la signalisation avec les noeuds correspondants | Sécurisation de la signalisation avec les noeuds correspondants | Amélioration de la gestion de la mobilité IPv6 | Amélioration de la gestion de la mobilité IPv6 }}

Latest revision as of 09:33, 20 February 2006

Sécurisation de la signalisation avec les noeuds correspondants Table des matières Amélioration de la gestion de la mobilité IPv6

Utilisation du protocole IPsec dans MIPv6

Le protocole IPsec nécessite la connaissance réciproque des clefs entre les correspondants. Le noeud mobile et son agent mère appartenant à la même organisation, il est raisonnable d'admettre qu'ils auront pu échanger leurs clefs en toute sécurité sans la mise en place d'une lourde infrastructure de gestion de clefs. L'utilisation d'IPsec entre le noeud mobile et son agent mère est donc tout à fait adaptée. Elle n'utilise que ESP en mode tunnel ou transport. La position des en-tête ESP sera choisie de façon à protéger également les informations de routage sans avoir recours à IPsec en mode AH, d'où une simplification de l'implémentation de la mobilité.

Le protocole IPsec est utilisé dans trois types de communications entre le noeud mobile et son agent mère :

  • Les messages de la procédure de routage retour,
  • La mise à jour des association de mobilité et leur acquittement,
  • L'encapsulation du flux des données entre le mobile et son noeud correspondant sur le tronçon noeud mobile-agent mère. (Ce qui n'est somme toute qu'un cas d'utilisation "standard" d'IPsec dans IPv6 entre un noeud (le noeud mobile) et une passerelle de sécurité (l'agent mère).)

L'efficacité d'une procédure de sécurité repose largement sur la qualité des politiques mises en oeuvre. Cet ouvrage n'étant pas un ouvrage sur la sécurité il n'est pas possible de détailler les politiques recommandées pour la gestion de la mobilité (voir RFC 3776).

IPsec dans les mises à jour d'association entre le noeud mobile et son agent mère

L'essentiel du problème consiste à garantir l'origine de la demande de mise à jour ainsi que sa valeur. ESP sera utilisé en mode transport. C'est-à-dire que le packet ESP ne contient qu'une signature des données qu'il encapsule (cf. figure IPsec en mode tranport pour les mises à jour d'association de mobilité).

Lors d'une demande de mise à jour, la care-of address est répétée dans l'option alternate care-of address de la demande de mise à jour. Comme sa valeur est certifiée par ESP, l'agent mère considèrera cette adresse plutôt que l'adresse source de l'en-tête IPv6. L'adresse de l'agent mère de l'en-tête n'est pas protégée par ESP, elle est garantie par les règles d'utilisation de l'adresse de l'agent mère lors de l'établissement de l'association de sécurité entre le noeud mobile et l'agent mère.

Enfin, lorsqu'un noeud mobile est dans son réseau mère, l'en-tête option destination ainsi que l'en-tête de routage peuvent être omises puisque le noeud mobile peut utiliser son adresse mère. Ce sera le cas notamment quand le noeud mobile de retour dans son réseau mère, demande la destruction de son association.

T13-22.gif

IPsec dans la procédure de "retour de routage" via l'agent mère

L'essentiel du problème est d'éviter qu'un noeud malveillant puisse écouter les échanges conduisant au noeud mobile à calculer la clef Kbm avec le noeud correspondant. Les informations home init cookie et home keygen token doivent donc être chiffrées. ESP est ici utilisé en mode tunnel. L'algorithme de chiffrement utilisé dans l'association ne doit donc pas être nul (cf. figure IPsec en mode tunnel pour la procédure de retour de routage).

On notera également que lorsque le noeud mobile change d'adresse temporaire, l'agent mère devra mettre à jour l'association de sécurité pour prendre en compte cette nouvelle adresse destination du noeud mobile.

T13-23.gif

Sécurisation de la signalisation avec les noeuds correspondants Table des matières Amélioration de la gestion de la mobilité IPv6
Personal tools