Architectures classiques de mise en oeuvre des IPsec
From Livre IPv6
Aujourd'hui, les protocoles IPsec sont devenus d'un usage très courant sur Internet. Ils répondent au besoin des entreprises de protéger leurs communications passées au travers d'un réseau public, voire d'un réseau Wi-Fi (Wireless Fidelity) privé. Pour illustrer les différents usages des IPsec, plusieurs architectures sont décrites ci-dessous. En particulier, seront étudiés le cas où deux réseaux privés d'entreprises sont interconnectés par un tunnel protégé par IPsec, le cas du nomade qui se connecte à distance sur son réseau privé d'entreprise de façon protégée et enfin, le cas d'une entreprise qui souhaite protéger son accès Wi-Fi.
Interconnexion de réseaux privés
Le premier débouché commercial des IPsec (en 1999-2002) dans un environnement IPv4 fut sans conteste l'interconnexion de réseaux privés distants au travers d'un réseau public. D'une part, les entreprises voyaient là un moyen d'abaisser leurs coûts en communications de façon importante en remplaçant leurs lignes spécialisées par la configuration de réseaux privés virtuels (VPN : Virtual Private Network). D'autre part, la première génération de passerelles IPsec souffrait de limitations et se prêtait donc bien à ce type d'architecture où la configuration des passerelles est relativement statique et où une configuration manuelle par l'administrateur est possible.
Comme le montre la figure Architecture VPN : Interconnexion de réseaux locaux, cette architecture consiste à placer une passerelle de sécurité à la frontière entre les sites et le réseau public et à protéger les communications sur le segment de réseau séparant les deux passerelles. En fait, un tunnel IP protégé par IPsec est configuré sur les deux passerelles. La passerelle du côté du terminal émetteur est chargée d'insérer une extension AH ou ESP dans le paquet ; la passerelle réceptrice est chargée de vérifier la validité du paquet, de décapsuler le paquet et de transmettre le paquet d'origine au terminal destinataire en local. Dans cette architecture, seul le mode tunnel des protocoles IPsec est exploitable entre passerelles.
Noter que l'en-tête extérieur des paquets acheminés sur le réseau public fait intervenir les adresses publiques des passerelles (extrémités du tunnel), ce qui permet leur routage sur le réseau public, tandis que l'en-tête des paquets IP encapsulés fait intervenir les adresses IP des réseaux privés qui sont généralement des adresses privées. Ainsi, deux terminaux même distants sont capables de s'adresser des paquets IP à l'aide de leurs adresses privées. Cette caractéristique leur permet donc de se comporter exactement comme s'ils étaient connectés sur le même réseau local. Le fait d'interconnecter de cette façon des réseaux privés distants est bien connu sous le nom de réseau privé virtuel ou VPN. Noter qu'un VPN n'est rien d'autre qu'un tunnel et n'est pas nécessairement protégé (par exemple par IPsec).
Actuellement ce type d'architecture nécessite l'intervention des administrateurs au moins pour permettre aux équipements de se connaître a priori et de pouvoir s'authentifier mutuellement lors de la phase I de IKE. Cela nécessite donc de charger un certificat ou de configurer un secret partagé. Dans un avenir plus ou moins proche, les passerelles IPsec seront moins contraignantes et permettront à des réseaux privés distants ne se connaissant pas de monter un tunnel dynamiquement. Cela améliorera grandement l'usage des IPsec puisqu'il sera alors possible de configurer un VPN pour une heure, une journée... le temps de la collaboration.
Nomadisme
L'architecture associée au nomadisme (cf. figure Architecture VPN : nomadisme) répond au besoin des utilisateurs qui partent en déplacement et souhaitent se connecter sur le réseau privé de leur entreprise pour accéder à leur boîte à lettre, des bases données, ou certaines applications [LAU03]. La plupart du temps, l'équipement nomade dont ils disposent leur est fourni par leur entreprise.
L'usage d'IPsec dans un contexte du nomadisme s'avère beaucoup plus complexe que l'interconnexion de réseaux distants. En effet, comme un nomade peut se connecter depuis n'importe où, il dispose donc d'une adresse IP (IPv4 ou IPv6) temporaire qui est propre au réseau d'accès sur lequel il se trouve connecté ; il n'est donc plus possible, contrairement aux passerelles IPsec dans le cas de l'interconnexion de réseaux distants, d'authentifier un équipement en fonction de son adresse IP ; l'identifiant considéré dans le cas du nomadisme correspond à une chaîne de caractères de type nom_machine@nom_entreprise où nom_machine correspond au nom de machine et nom_entreprise au nom réseau de domaine de son réseau privé. De plus, en cas de vol d'un équipement nomade, il faut empêcher que le voleur ne puisse se connecter sur le réseau de l'entreprise et télécharger des informations confidentielles. En fait, l'objectif principal pour les entreprises est de n'autoriser l'accès à son réseau que depuis l'équipement nomade fourni à un employé et qu'à ce seul employé ; il faut donc pouvoir contrôler à la fois l'équipement et la personne.
C'est pour cela que les entreprises préconisent la double authentification, celle de l'équipement nomade et celle de l'utilisateur. La seule solution qui permette aujourd'hui de réaliser cette double authentification est la combinaison du protocole L2TP (Layer Two Tunneling Protocol) avec IPsec issue d'une collaboration entre Microsoft et Cisco [RFC 3193]. Les protocoles IPsec permettent en fait de protéger le tunnel L2TP, qui lui n'assure aucune protection des échanges en confidentialité, intégrité...
Plus précisément, le nomade doit établir une connexion avec la passerelle IPsec. Le mode de protection IPsec utilisé est ici le mode transport puisque les extrémités de la connexion sont le nomade et la passerelle. Lors de l'établissement de cette connexion, c'est le nomade qui s'authentifie auprès de la passerelle ; tous deux négocient une association de sécurité IPsec par le biais du protocole IKE. Ensuite, ils montent un tunnel L2TP ; noter que tous les échanges entre le nomade et le réseau privé sont protégés par IPsec sur le réseau public ; lors de l'établissement de ce tunnel, c'est cette fois-ci l'utilisateur qui est amené à s'authentifier auprès de la passerelle ; la passerelle envoie alors des paramètres de configuration au nomade ; en particulier, le nomade peut se voir affecter une adresse privée. Cette adresse privée est utile car il permet aux équipements du réseau privé de se comporter à l'égard du nomade exactement de la même façon que si le nomade était connecté dans l'enceinte du réseau privé.
Usage des VPNs dans le but de protéger des accès Wi-Fi
Cet usage des VPNs est apparu en attendant la commercialisation de produits Wi-Fi respectant la norme IEEE 802.11i. En effet, les réseaux Wi-Fi peuvent facilement faire l'objet d'écoutes du fait du mode de diffusion utilisé. Il est donc primordial d'assurer la confidentialité des communications au moins entre le mobile et le réseau d'accès.
Les VPNs peuvent être utilisés dans cette optique. La passerelle IPsec se trouve à ce moment là juste derrière le point d'accès Wi-Fi (cf. figure Architecture VPN : protection de l'accès Wi-Fi). D'une part, elle permet de rendre confidentiels les échanges sur le réseau sans-fils ; pour cela elle met en oeuvre un tunnel ESP (avec chiffrement des échanges activé) avec le mobile IPsec. D'autre part, si l'accès au réseau filaire est restreint, elle permet d'authentifier les mobiles et ainsi de filtrer les demandes d'accès au réseau.