Protection de la signalisation par le protocole IPsec

From Livre IPv6

Revision as of 19:42, 4 December 2005 by Laurent Toutain (Talk | contribs)

(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

Utilisation du protocole IPsec dans MIPv6

Le protocole IPsec nécessite la connaissance réciproque des clefs entre les correspondants. Le noeud mobile et son agent mère appartenant à la même organisation, il est raisonnable d'admettre qu'ils auront pu échanger leurs clefs en toute sécurité sans la mise en place d'une lourde infrastructure de gestion de clefs. L'utilisation d'IPsec entre le n?ud mobile et son agent mère est donc tout à fait adaptée. Elle n'utilise que ESP en mode tunnel ou transport. La position des en-tête ESP sera choisie de façon à protéger également les informations de routage sans avoir recours à IPsec en mode AH, d'où une simplification de l'implémentation de la mobilité.

Le protocole IPsec est utilisé dans trois types de communications entre le noeud mobile et son agent mère :

  • Les messages de la procédure de routage retour,
  • La mise à jour des association de mobilité et leur acquittement,
  • L'encapsulation du flux des données entre le mobile et son noeud correspondant sur le tronçon noeud mobile-agent mère. (Ce qui n'est somme toute qu'un cas d'utilisation "standard" d'IPsec dans IPv6 entre un noeud (le noeud mobile) et une passerelle de sécurité (l'agent mère).)

L'efficacité d'une procédure de sécurité repose largement sur la qualité des politiques mises en oeuvre. Cet ouvrage n'étant pas un ouvrage sur la sécurité il n'est pas possible de détailler les politiques recommandées pour la gestion de la mobilité (voir RFC 3776).

IPsec dans les mises à jour d'association entre le n?ud mobile et son agent mère

L'essentiel du problème consiste à garantir l'origine de la demande de mise à jour ainsi que sa valeur. ESP sera utilisé en mode transport. C'est-à-dire que le packet ESP ne contient qu'une signature des données qu'il encapsule (cf. figure IPsec en mode tranport pour les mises à jour d'association de mobilité).

CS167.gif

Lors d'une demande de mise à jour, la care-of address est répétée dans l'option alternate care-of address de la demande de mise à jour. Comme sa valeur est certifiée par ESP, l'agent mère considèrera cette adresse plutôt que l'adresse source de l'en-tête IPv6. L'adresse de l'agent mère de l'en-tête n'est pas protégée par ESP, elle est garantie par les règles d'utilisation de l'adresse de l'agent mère lors de l'établissement de l'association de sécurité entre le noeud mobile et l'agent mère.

Enfin, lorsqu'un n?ud mobile est dans son réseau mère, l'en-tête option destination ainsi que l'en-tête de routage peuvent être omises puisque le n?ud mobile peut utiliser son adresse mère. Ce sera le cas notamment quand le n?ud mobile de retour dans son réseau mère, demande la destruction de son association. IPsec en mode tranport pour les mises à jour d'association de mobilité

En-tête IPv6


En-tête suivant: 60



En-tête IPv6


En-tête suivant: 60

SRC: care-of address du n?ud mobile

DST: adresse de l'agent mère



SRC: adresse de l'agent mère

DST: "care-of address" du n?ud mobile


En-tête option destination


En-tête suivant: 50



En-tête de routage type 2


En-tête suivant: 50

"home address" du n?ud mobile



"home address" du n?ud mobile

En-tête ESP (en mode transport)



En-tête ESP (en mode transport)




En-tête de mobilité

Mise à jour d'association,

Option: care-of address du n?ud mobile





En-tête de mobilité

Acquittement de l'association de mobilité



En-tête suivant: 135



En-tête suivant: 135











IPsec dans la procédure de "retour de routage" via l'agent mère

L'essentiel du problème est d'éviter qu'un n?ud malveillant puisse écouter les échanges conduisant au n?ud mobile à calculer la clef Kbm avec le n?ud correspondant. Les informations home init cookie et home keygen token doivent donc être chiffrées. ESP est ici utilisé en mode tunnel. L'algorithme de chiffrement utilisé dans l'association ne doit donc pas être nul (cf. See IPsec en mode tunnel pour la procédure de retour de routage).

On notera également que lorsque le n?ud mobile change d'adresse temporaire, l'agent mère devra mettre à jour l'association de sécurité pour prendre en compte cette nouvelle adresse destination du n?ud mobile. IPsec en mode tunnel pour la procédure de retour de routage

En-tête IPv6


En-tête suivant: 60



Entête IPV6


Entête suivant: 43

SRC: care-of address du n?ud mobile

DST: adresse de l'agent mère



SRC: adresse de l'agent mère

DST: care-of address du n?ud mobile


En-tête ESP (en mode tunnel)



Entête ESP (en mode tunnel)




En-tête IPV6


En-tête suivant: 135





Entête IPV6


Ent-ête suivant: 135

SRC: home address du n?ud mobile

DST: adresse du n?ud correspondant


SRC: home address du n?ud mobile

DST: adresse du home agent

En-tête de mobilité

Initialisation du test de la home address

home address cookie


En-tête de mobilité

Test de la home adress

home address cookie

home keygen token



En-tête suivant: 41







En-tête suivant: 41

Retrieved from "http://livre.g6.asso.fr/index.php?title=Protection_de_la_signalisation_par_le_protocole_IPsec&oldid=2133"
Personal tools