Qu'est-ce qu'IPSec ?
IPSec, qui signifie Sécurité du protocole Internet, est une suite de protocoles cryptographiques protégeant le trafic de données sur les réseaux IP.
Les réseaux IP, y compris le World Wide Web tel que nous le connaissons, manquent de cryptage et de confidentialité. IPSec VPN remédier à cette faiblesse, en fournissant un cadre pour communication cryptée et privée sur le web.
Voici un aperçu de ce qu'est IPSec et de son fonctionnement tunnels VPN pour protéger les données sur des réseaux non sécurisés.
Une brève histoire d'IPSec
Quand le protocole Internet a été développé au début des années 80, la sécurité n'était pas en haut de la liste des priorités. Cependant, alors que le nombre d'utilisateurs d'Internet continuait de croître, le besoin d'une plus grande sécurité est devenu évident.
Pour répondre à ce besoin, la National Security Agency a parrainé le développement de protocoles de sécurité au milieu des années 80 dans le cadre du programme Secure Data Network Systems. Cela a conduit au développement du protocole de sécurité à la couche 3, et finalement, le
Comment fonctionne IPSec
Lorsque deux ordinateurs établissent un connexion VPN, ils doivent se mettre d'accord sur un ensemble de protocoles de sécurité et d'algorithmes de cryptage, et échanger des clés cryptographiques pour déverrouiller et afficher les données cryptées.
C'est là qu'IPSec entre en scène. IPSec fonctionne avec des tunnels VPN pour établir une connexion bidirectionnelle privée entre les appareils. IPSec n'est pas un protocole unique; il s'agit plutôt d'une suite complète de protocoles et de normes qui fonctionnent ensemble pour garantir la confidentialité, l'intégrité et l'authentification des paquets de données Internet circulant dans un tunnel VPN.
Voici comment IPSec crée un tunnel VPN sécurisé:
- Il authentifie les données pour garantir l'intégrité des paquets de données en transit.
- Il crypte le trafic Internet via des tunnels VPN afin que les données ne puissent pas être consultées.
- Il protège contre relecture des données attaques pouvant conduire à des connexions non autorisées.
- Il permet l'échange sécurisé de clés cryptographiques entre ordinateurs.
- Il propose deux modes de sécurité: tunnel et transport.
VPN IPSec protège les données circulant d'hôte à hôte, de réseau à réseau, d'hôte à réseau et de porte à passerelle (appelée mode tunnel, lorsqu'un paquet IP entier est chiffré et authentifié).
Protocoles IPSec et composants de prise en charge
La norme IPSec se décompose en plusieurs protocoles de base et composants de support.
Protocoles de base IPSec
- En-tête d'authentification IPSec (AH): Ce protocole protège les adresses IP des ordinateurs impliqués dans un échange de données pour garantir que des bits de données ne sont pas perdus, modifiés ou endommagés pendant la transmission. AH vérifie également que la personne qui a envoyé les données les a effectivement envoyées, protégeant ainsi le tunnel des infiltrations par des utilisateurs non autorisés.
- Encapsulation de la charge utile de sécurité (ESP): Le protocole ESP assure la partie cryptage de l'IPSec, qui assure la confidentialité du trafic de données entre les appareils. ESP crypte les paquets de données/la charge utile et authentifie la charge utile et son origine au sein de la suite de protocoles IPSec. Ce protocole brouille efficacement le trafic Internet, de sorte que quiconque regarde le tunnel ne peut pas voir ce qui s'y trouve.
ESP crypte et authentifie les données, tandis que AH authentifie uniquement les données.
Composants de prise en charge IPsec
- Associations de sécurité (AS): Les associations et politiques de sécurité établissent les différents contrats de sécurité utilisés dans un échange. Ces contrats peuvent définir le type d'algorithmes de cryptage et de hachage à utiliser. Ces politiques sont souvent flexibles, permettant aux appareils de décider comment ils veulent gérer les choses.
- Échange de clés Internet (IKE): Pour que le cryptage fonctionne, les ordinateurs impliqués dans un échange de communication privé doivent partager des clés de cryptage. IKE permet à deux ordinateurs d'échanger et de partager en toute sécurité des clés cryptographiques lors de l'établissement d'une connexion VPN.
- Algorithmes de cryptage et de hachage: Une clé cryptographique fonctionne à l'aide d'une valeur de hachage, qui est générée à l'aide d'un algorithme de hachage. AH et ESP sont génériques en ce sens qu'ils ne spécifient pas de type de cryptage particulier. Cependant, IPsec utilise souvent Message Digest 5 ou Secure Hash Algorithm 1 pour le cryptage.
- Protection anti-rejeu: IPSec intègre également des normes pour empêcher la relecture de tout paquet de données faisant partie d'un processus de connexion réussi. Cette norme empêche les pirates d'utiliser les informations rejouées pour reproduire eux-mêmes la connexion.
IPSec est une solution de protocole VPN complète seule ou en tant que protocole de cryptage au sein de L2TP et IKEv2.
Modes de tunneling: tunnel et transport
IPSec envoie des données en utilisant le tunnel ou le mode de transport. Ces modes sont étroitement liés au type de protocoles utilisés, AH ou ESP.
- Mode tunnel : En mode tunnel, l'ensemble du paquet est protégé. IPSec enveloppe le paquet de données dans un nouveau paquet, le crypte et ajoute un nouvel en-tête IP. Il est couramment utilisé dans les configurations VPN de site à site.
- Mode de transport: En mode transport, l'en-tête IP d'origine reste et n'est pas chiffré. Seules la charge utile et la remorque ESP sont cryptées. Le mode de transport est souvent utilisé dans les configurations VPN client à site.
En ce qui concerne les VPN, la configuration IPSec la plus courante que vous verrez est ESP avec authentification en mode tunnel. Cette structure aide le trafic Internet à se déplacer de manière sécurisée et anonyme à l'intérieur d'un tunnel VPN sur des réseaux non sécurisés.