Orientations choisies par l'IETF
From Livre IPv6
| |
Sécurité | Table des matières | Association de sécurité | |
Comme le montre le tableau Services de sécurité pour la protection des réseaux, pour se prémunir des attaques IP spoofing et IP sniffing (l'IP flooding étant très difficile à contrer), il est nécessaire d'introduire les services de sécurité suivants (RFC 2401) :
- confidentialité des données ;
- intégrité des données ;
- authentification de l'origine des données.
| Les attaques | IP sniffing | IP spoofing |
|---|---|---|
| Les services de sécurité | confidentialité | authentification/intégrité, confidentialité, détection de rejeu |
Pour introduire ces services de sécurité et assurer la protection des échanges de paquets IP, l'IETF a été amené à définir deux nouvelles extensions IP de sécurité :
- L'extension d'authentification ou extension AH pour Authentication Header, rend les services d'authentification, intégrité, et optionnellement détection de rejeu. Selon la méthode d'authentification utilisée, il peut également offrir le service de non répudiation.
- L'extension de confidentialité ou extension ESP pour Encapsulating Security Payload, peut rendre les services de confidentialité, intégrité, authentification, et détection de rejeu et garantir de façon limitée la confidentialité du flux.
La définition de deux extensions au lieu d'une seule est judicieuse du fait que la législation appliquée pour le service de confidentialité est plus stricte que celle appliquée pour les services d'intégrité/authentification. Selon les pays, l'exportation, l'importation et l'utilisation de moyens cryptographiques sont réglementées. En France, par exemple, depuis le 27 juillet 1996 (1), la cryptographie peut être librement utilisée pour authentifier ou prouver l'intégrité d'un message. L'usage de la cryptographie à des fins de chiffrement de messages a toujours été plus strict et dépendant de la longueur des clés de chiffrement utilisées, mais d'année en année, la réglementation s'est assouplie, et depuis le 21 juin 2004, date à laquelle la loi sur la confiance en l'économie numérique (LCEN) a été promulguée, les utilisateurs peuvent librement utiliser tout matériel leur permettant d'effectuer du chiffrement, et ce, quelle que soit la longueur des clés de chiffrement. Par contre, les fournisseurs de ce type de matériel sont tenus de déclarer ce matériel (si la longueur de clés de chiffrement reste inférieure à 128 bits), voire de demander une autorisation (si la longueur des clés dépasse 128 bits).
Grâce à la distinction de ces deux extensions pour les services de confidentialité et d'intégrité/authentification, deux utilisateurs qui ne sont pas autorisés à assurer la confidentialité de leurs messages du fait de la législation de leur(s) pays peuvent toujours les protéger en intégrité/authentification.
Ces extensions sont utilisées pour protéger des communications. Cette protection peut être assurée, comme le montre la figure Différents modes de protection :
- de bout en bout, entre les deux stations extrémités en communication, auquel cas ce sont les stations qui introduisent et extraient les extensions de sécurité dans les paquets IP. Ce mode de protection est habituellement exploité dans des cas bien particuliers comme pour assurer la sécurité de la signalisation liée à la mobilité IPv6.
- sur des segments de réseaux entre deux équipements de réseau IP réalisant de la sécurité qui seront par la suite désignés par "passerelles de sécurité". Ces passerelles (gateway en anglais) peuvent être des routeurs ou des pare-feux (firewall). Les extensions de sécurité sont alors échangées entre passerelles de sécurité, c'est-à-dire introduites par une passerelle et extraites par l'autre passerelle. Ce type de protection est plus courant que le premier et correspond à un schéma classique de VPN (Virtual Private Network) où deux sites distants disposant chacun d'une passerelle sont interconnectés.
- entre une station et une ou plusieurs passerelle(s) de sécurité. Ce schéma est également couramment utilisé pour protéger les communications entre un nomade et son réseau privé d'entreprise.
Pour protéger les communications sur le réseau IP, deux modes de protection existent :
- Le mode transport permet de protéger la charge utile du paquet et certains champs de son en-tête ;
- Le mode tunnel assure la protection des communications sur un tunnel IP. C'est-à-dire, la protection porte sur tous les champs du paquet IP arrivant à l'entrée d'un tunnel et sur certains champs du nouveau paquet IP construit pour encapsuler le paquet IP entrant.
Le mode transport n'est utilisable qu'entre deux équipements terminaux en communication car, en cas d'utilisation sur des équipements intermédiaires, on courrait le risque, suivant les aléas du routage, que le paquet atteigne sa destination finale sans avoir traversé la passerelle chargée de le déchiffrer. Le mode tunnel pallie ce problème en encapsulant chaque paquet IP dans un nouveau paquet, pour lequel les adresses source et destination sont celles des équipements IPsec.
Il faut noter que la protection d'une communication est toujours réalisée par des entités du réseau (stations ou passerelles) travaillant deux par deux. Cette protection nécessite que ces entités aient au préalable convenu de la liste des services de sécurité à appliquer à la communication ainsi que des mécanismes de sécurité adéquats (algorithmes de chiffrement, signature numérique). L'ensemble des services et mécanismes de sécurité choisis forme l'association de sécurité de la communication (voir la section suivante). Une fois l'une (des) association(s) de sécurité convenue(s), les entités réalisant la sécurité peuvent ensuite construire le (les) extension(s) de sécurité appropriée(s) et le(s) extraire en vue de leur vérification.
(1) article 17 de la loi de réglementation des télécommunications 96-659 du 26 juillet 1996, Journal Officiel du 27 juillet 1996
| |
Sécurité | Table des matières | Association de sécurité | |
