LA SCURIT RSEAU AVEC IPSEC (NETWORK SECURITY WITH IPSEC)

Ghislaine LABOURET Herv Schauer Consultants (HSC) 142, rue de Rivoli 75001 Paris FRANCE http://www.hsc.fr/

Rsum
IPsec est une norme qui dfinit une extension de scurit pour le protocole Internet (IP) afin de permettre la scurisation des rseaux bass sur ce protocole. Les services de scurit fournis sont la confidentialit, lauthentification et lintgrit des donnes, la protection contre le rejeu et le contrle daccs. Ces services sont bass sur des mcanismes cryptographiques qui leur confrent un niveau de scurit lev lorsquils sont utiliss avec des algorithmes forts. La scurisation se faisant au niveau dIP, IPsec peut tre mis en uvre sur tous les quipements du rseau et fournir un moyen de protection unique pour tous les changes de donnes. De nombreux fournisseurs intgrent dsormais IPsec dans leurs produits, ce qui facilite son dploiement lchelle dun rseau dentreprise. Des exemples dutilisations typiques dIPsec sont la cration de rseaux privs virtuels, la scurisation des accs distants un intranet et la protection dun serveur sensible.

Abstract
IPsec is a standard that defines an extension for the Internet protocol (IP) so as to secure the networks based on this protocol. The security services provided by IPsec are confidentiality, data origin authentication, data integrity, protection against replay and access control. These services are based on cryptographic mechanisms that give them a high security level when they are used with strong algorithms. As protection is applied at the IP layer, IPsec can be implemented on all the hardware that use the network and provide a single means of protection for all the data exchanges. Many providers now include IPsec in their products, which makes its deployment on a corporate network scale easier. Typical uses of IPsec are the creation of virtual private networks, the protection of remote access to an intranet and the protection of a sensitive server.

Version du 20 avril 1999

Table des matires

INTRODUCTION 1. PRINCIPE DE FONCTIONNEMENT
1.1. La scurisation des donnes changes
O intervient IPsec ? Quels services de scurit sont fournis ? Comment sont fournis ces services ?

3 4
4
4 4 5

1.2. La gestion des paramtres de scurisation 1.3. La configuration 1.4. Synthse

6 6 7

2. DPLOIEMENT ET UTILISATIONS PRATIQUES

2.1. O trouver IPsec
Passerelles de scurit Htes finaux Fonctionnalits fournies et restrictions lgales

8
8
8 8 9

2.2. Dployer IPsec : planification, installation et configuration

Les tapes du dploiement Installation dIPsec sur une machine Configuration dIPsec

9
9 10 10

2.3. Exemples de dploiements : rseaux privs virtuels, extranet, serveurs protgs...

Exemple 1 : rseaux privs virtuels Exemple 2 : extranet Exemple 3 : protection dun serveur sensible

10
10 11 12

CONCLUSION

13

Introduction
Au cours de ces dernires annes, lutilisation du protocole Internet (Internet Protocol, IP) comme base des rseaux informatiques est devenue trs importante, que ce soit par lutilisation croissante de lInternet ou dans le cadre de rseaux dentreprises de type intranet. Si la flexibilit dIP et sa simplicit ont su rpondre aux besoins en matire de rseaux informatiques de ces dernires dcennies, le but de ce protocole na jamais t dassurer des communications scurises, do labsence de fonctionnalits dans ce domaine. La facilit des attaques, le fait que la dmocratisation de lInternet les rende accessibles beaucoup et la volont croissante de pouvoir utiliser des rseaux IP pour des applications sensibles ont donc pouss au dveloppement de diverses solutions de scurit : gardes-barrires, routeurs filtrants, protocoles et applications scurises se sont multiplis. Devant les besoins grandissants dans ce domaine, et profitant de la dfinition du nouveau protocole IPv6, lIAB (Internet Architecture Board) a donc dcid dintgrer des services de scurit dans le protocole IP lui-mme, afin de pouvoir protger les communications utilisant ce protocole. Le rseau IPv4 tant largement dploy et la migration complte vers IPv6 ncessitant encore beaucoup de temps, il est vite apparu intressant de dfinir des mcanismes de scurit qui soient communs la fois IPv4 et IPv6. Ces mcanismes sont couramment dsigns par le terme IPsec pour IP Security Protocol. IPsec se prsente sous la forme dune norme, dveloppe par un groupe de travail du mme nom lIETF (Internet Engineering Task Force) depuis 1992. Une premire version basique de cette extension dIP a paru, sous forme de RFC (Request For Comment), en 1995. Une seconde version, comportant en plus un systme de gestion dynamique des paramtres de scurit, a t publie en novembre 1998. La maturit grandissante de la norme conduit dsormais de nombreux fournisseurs intgrer IPsec dans leurs produits, et lon peut considrer que le march commence prendre de limportance et sera bientt un secteur incontournable de la scurit rseau. Cette prsentation dbutera par une description des composants dIPsec, des principes sur lesquels repose la scurisation et du fonctionnement du systme. Dans un second temps, nous verrons dans quelles situations IPsec peut tre utilis et, en particulier, comment il peut tre dploy et exploit, en pratique, lchelle dun rseau dentreprise.

1. Principe de fonctionnement
Cette partie prsente les principales caractristiques dIPsec et notamment son principe de fonctionnement et les services de scurit quil fournit. 1.1. La scurisation des donnes changes La base dIPsec est un ensemble de mcanismes de scurisation des donnes circulant sur le rseau. Nous allons voir ici o interviennent ces mcanismes et quelle scurit ils apportent.
O intervient IPsec ?

IPsec sinsre, dans la pile de protocoles TCP/IP, au niveau dIP. Cela signifie quil agit sur chaque paquet IP reu ou mis et peut soit le laisser passer sans traitement particulier, soit le rejeter, soit lui appliquer un mcanisme de scurisation. Toutes les implmentations dune pile de protocoles TCP/IP conformes la version six dIP doivent intgrer IPsec. En revanche, IPsec est optionnel pour la version actuelle dIP, IPv4, et nest pas encore fourni en standard sur la plupart des systmes courants. Lorsque se sera le cas ou lorsque IPv6 sera en place, il sera possible tout utilisateur dsirant des fonctions de scurit davoir recours IPsec ; en attendant, il convient, pour utiliser IPsec, dacqurir un produit mettant en uvre cette norme. Le placement dIPsec au niveau IP, cest--dire au niveau rseau, prsente lavantage de le rendre exploitable par les niveaux suprieurs, et, en particulier, doffrir un moyen de protection unique pour toutes les applications. En dautres termes, l o dautres systmes scurisent les applications au cas par cas, IPsec, lui, scurise le rseau sous-jacent. Cette approche nest bien sr pas exempte de contraintes, notamment des problmes de performances et la difficult de pouvoir distinguer les diffrents flux avec prcision. Du fait de son intgration dans la pile de protocoles, IPsec peut tre mis en uvre sur tous les quipements utilisant le rseau et assurer une protection soit de bout en bout, entre les tiers communicants, soit lien par lien, sur des segments de rseau. IPsec peut donc tre utilis dans de nombreuses situations : il peut offrir une protection aux applications qui utilisent le rseau, protger laccs dun rseau en agissant comme un garde-barrire volu, servir mettre en place des rseaux privs virtuels, scuriser les accs distants un intranet...
Quels services de scurit sont fournis ?

IPsec vise prvenir les diverses attaques rendues possibles par le protocole IP, notamment empcher un adversaire despionner les donnes circulant sur le rseau ou de se faire passer pour autrui afin daccder des ressources ou donnes protges. Dans ce but, IPsec peut fournir, suivant les options slectionnes, tout ou partie des services de scurit suivants : Confidentialit des donnes et protection partielle contre lanalyse du trafic. Les donnes transportes ne peuvent tre lues par un adversaire espionnant les communications. En particulier, aucun mot de passe, aucune information confidentielle ne circule en clair sur le rseau. Il est mme possible, dans certains cas, de chiffrer les en-ttes des paquets IP et ainsi masquer, par exemple, les adresses source et destination relles. On parle alors de protection contre lanalyse du trafic.

 Authenticit des donnes et contrle daccs continu. Lauthenticit est compose de deux services, gnralement fournis conjointement par un mme mcanisme : lauthentification de lorigine des donnes et lintgrit. Lauthentification de lorigine des donnes garantit que les donnes reues proviennent de lexpditeur dclar. Lintgrit garantit quelles nont pas t modifies durant leur transfert. La garantie de lauthenticit de chaque paquet reu permet de mettre en uvre un contrle daccs fort tout au long dune communication, contrairement un contrle daccs simple louverture de la connexion, qui nempche pas un adversaire de rcuprer une communication son compte. Ce service permet en particulier de protger laccs des ressources ou donnes prives. Protection contre le rejeu La protection contre le rejeu permet de dtecter une tentative dattaque consistant envoyer de nouveau un paquet valide intercept prcdemment sur le rseau. Ces services sont bass sur des mcanismes cryptographiques modernes qui leur confrent un niveau de scurit lev lorsquils sont utiliss avec des algorithmes forts.
Comment sont fournis ces services ?

Les services de scurit mentionns ci-dessus sont fournis au moyen de deux extensions du protocole IP appeles AH (Authentication Header) et ESP (Encapsulating Security Payload) : AH est conu pour assurer lauthenticit des datagrammes IP sans chiffrement des donnes (i.e. sans confidentialit). Le principe dAH est dadjoindre au datagramme IP classique un champ supplmentaire permettant la rception de vrifier lauthenticit des donnes incluses dans le datagramme. Un numro de squence permet de dtecter les tentatives de rejeu. ESP a pour rle premier dassurer la confidentialit mais peut aussi assurer lauthenticit des donnes. Le principe dESP est de gnrer, partir dun datagramme IP classique, un nouveau datagramme dans lequel les donnes et ventuellement len-tte original, sont chiffrs. ESP peut galement assurer lauthenticit des donnes par ajout dun bloc dauthentification et la protection contre le rejeu par le biais dun numro de squence. Ces deux extensions peuvent tre utilises sparment ou combines pour obtenir les services de scurit requis. AH et ESP sont bass sur lutilisation dalgorithmes cryptographiques et ne sont pas restreints un algorithme particulier : ils sont utilisables avec de nombreux algorithmes. Chaque produit comportant IPsec sera donc livr avec un ensemble dalgorithmes, parmi lesquels lutilisateur ou ladministrateur du rseau pourront choisir. Cette faon de procder permet notamment, pour se conformer des contraintes lgislatives par exemple, de limiter les algorithmes de chiffrement fournis une longueur de clef donne voire de fournir uniquement des algorithmes dauthentification, sans possibilit de chiffrement. IPsec comporte une liste dalgorithmes proposs pour tre utiliss avec IPsec et dont lutilisation est ngociable en ligne par le biais dun protocole appel IKE. lheure o ce document est rdig, cette liste contient notamment les algorithmes de chiffrement NULL (pas de chiffrement), CAST-128 (clef de 40 128 bits), Blowfish (40-448 bits), RC5 (40-2040 bits), DES (56 bits) et DES triple (clef de 168 bits mais de force quivalente 112 bits). Pour garantir linteroprabilit entre les quipements, la norme IPsec rend certains de ces algorithmes obligatoires. Actuellement, DES-CBC et 3DES-CBC sont obligatoires pour le 5

chiffrement ; pour lauthentification, HMAC-MD5 et HMAC-SHA-1 doivent tre prsents dans toute implmentation conforme dIPsec. Dautre part, deux modes de protection existent : Le mode transport protge uniquement le contenu du paquet IP sans toucher len-tte ; ce mode nest utilisable que sur les quipements terminaux (postes clients, serveurs). Le mode tunnel permet la cration de tunnels par encapsulation de chaque paquet IP dans un nouveau paquet. Ainsi, la protection porte sur tous les champs des paquets IP arrivant lentre dun tunnel, y compris sur les champs des en-ttes (adresses source et destination par exemple). Ce mode est celui utilis par les quipements rseau (routeurs, gardes-barrires...). 1.2. La gestion des paramtres de scurisation Les mcanismes mentionns ci-dessus font appel la cryptographie et utilisent donc un certain nombre de paramtres (algorithmes utiliss, clefs, mcanismes slectionns...). Afin dchanger des donnes de faon scurise, il est donc ncessaire, dans un premier temps, de se mettre daccord sur les paramtres utiliser, et notamment dchanger des clefs de faon sre. Lapproche la plus simple pour cet change pralable est la gestion manuelle, qui consiste laisser ladministrateur configurer manuellement chaque quipement utilisant IPsec avec les paramtres appropris. Si cette approche savre relativement pratique dans un environnement statique et de petite taille, elle ne convient plus pour un rseau de taille importante. De plus, elle implique une dfinition totalement statique des paramtres et un non-renouvellement des clefs. La premire version dIPsec, parue en 1995, se basait sur cette mthode manuelle pour la configuration des quipements. La seconde approche est la gestion automatique au moyen dun protocole appropri. Les dveloppements dans ce domaine ont abouti un protocole de gestion des paramtres relatifs IPsec connu sous le nom de IKE (Internet Key Exchange). Bien que ce nom insiste sur le rle dchange de clefs, IKE se charge en ralit de la gestion (ngociation, mise jour, suppression) de tous les paramtres relatifs la scurisation des changes. Contrairement aux mcanismes AH et ESP qui agissent directement sur les donnes scuriser, IKE est un protocole de plus haut niveau, dont le rle est louverture et la gestion dune pseudo-connexion au-dessus dIP. En particulier, IKE inclut, au dbut de la ngociation, une authentification mutuelle des tiers communicants qui peut se baser soit sur un secret partag pralable soit sur des clefs publiques. Lchange des clefs publiques utilises par IKE peut se faire soit manuellement, soit directement dans le cadre dIKE par un change de certificats en ligne, soit par le biais dune infrastructure clefs publiques (Public Key Infrastructure, PKI) extrieure. Afin de stocker et de manipuler facilement lensemble des paramtres grs par IKE et utiliss par les mcanismes de scurisation, IPsec a recours la notion dassociation de scurit (Security Association, SA). Une association de scurit est une structure de donnes qui regroupe lensemble des paramtres de scurit associs une communication donne. Pour stocker lensemble des associations de scurit actives, on utilise une base de donnes des associations de scurit (Security Association Database, SAD). Les lments stocks dans cette base de donnes sont crs et modifis par IKE puis consults par la couche IPsec pour savoir comment traiter chaque paquet reu ou mettre. 1.3. La configuration Les protections offertes par IPsec sont bases sur des choix dfinis par ladministrateur du rseau par le biais de politiques de scurit. Ces politiques sont gnralement stockes dans une base de donnes de politique de scurit (Security Policy Database, SPD) et se prsentent sous forme 6

dune liste ordonne de rgles, chaque rgle comportant un certain nombre de critres qui permettent de dterminer quelle partie du trafic est concerne. La consultation de la base de donne des politiques de scurit permet de dcider, pour chaque paquet, sil se verra apporter des services de scurit, sera autoris passer outre ou sera rejet. Cest galement cette base qui indique IKE quelles associations de scurit il doit ngocier, et, en particulier, quels tunnels scuriss il doit tablir. Pour le moment, la configuration des quipements IPsec passe par la configuration manuelle des politiques de scurit sur chaque quipement. Des systmes de gestion centralise et dynamique de ces politiques sont en cours dlaboration. 1.4. Synthse Le schma ci-dessous reprsente les diffrents composants dIPsec et leurs interactions. On y retrouve notamment : AH et ESP, les mcanismes de scurisation au niveau IP qui protgent les donnes transfres. Les paramtres relatifs lutilisation de ces mcanismes sont stocks dans des associations de scurit. IKE, le protocole orient connexion utilis par les quipements IPsec pour grer les associations de scurit. Une configuration manuelle des associations de scurit est galement possible. Un ensemble de politiques de scurit, qui sont les rgles appliquer au trafic traversant un quipement donn. Cest par elles que ladministrateur du rseau configure IPsec et notamment indique IKE quels sont les tunnels scuriss crer.

Administrateur
Alertes

Application
1. Configure 6. Ngocie, modifie, supprime

IKE
5. Consulte

Protocole applicatif (HTTP, FTP, POP, SMTP,)

Sockets
4. Demande cration SA Politiques de scurit 2. Consulte

Transport (TCP, UDP) IP

Associations de scurit

IPsec (AH, ESP)

Liaison

3&7. Consulte

Figure 1. Composants dIPsec et actions lmission de donnes

SA = Security Association = Association de scurit

2. Dploiement et utilisations pratiques

Cette partie aborde les diffrents aspects du dploiement dIPsec sur un rseau dentreprise. 2.1. O trouver IPsec IPsec ne ncessite aucune modification des applications utilises, il est totalement transparent. La seule chose acqurir est un systme mettant en uvre IPsec, et ventuellement une infrastructure clefs publiques si lon dsire y avoir recours pour faciliter un dploiement grande chelle. Pour utiliser IPsec, lentreprise doit donc vrifier que ses systmes (matriel ou logiciel) intgrent ces fonctions tendues. En effet, IPsec est avant tout une norme dveloppe par lIETF ; si son intgration obligatoire dans toute pile IPv6 signifie quil sera livr en standard avec des systmes comportant IPv6, pour quil soit utilisable sur un systme IPv4 donn, il faut quun fournisseur choisisse de limplmenter dans son produit. Jusqu trs rcemment, labsence de maturit de la norme avait pour consquence un faible nombre dimplmentations. La parution dune nouvelle version trs complte en novembre 1998 et la mode grandissante des rseaux privs virtuels ont conduit, aux tats-Unis, une explosion du march. La France ragit pour le moment de faon plus modre, mais lapparition de plusieurs produits franais ou disponibles dans lHexagone indique que le march franais dans ce domaine est loin dtre inactif. IPsec faisant partie intgrante de la pile de protocoles TCP/IP, il peut tre mis en uvre sur tout quipement utilisant le rseau. On distingue cependant deux types dquipements diffrents : les passerelles de scurit et les htes finaux.
Passerelles de scurit

Une passerelle de scurit est un quipement plac la frontire entre deux rseaux ou deux sousrseaux et qui met en uvre des fonctions de scurit. Ce terme englobe en particulier les produits gardes-barrires, les routeurs lorsquils jouent un rle dans la scurit du rseau et les botiers ddis pour la cration de rseaux privs virtuels. Comme exemple dimplmentations IPsec sur ces quipements, on peut citer le logiciel gardebarrire Firewall-1 de Check Point ( partir de la version 4.0), le systme dexploitation pour routeurs Cisco IOS ( partir de la version 11.3.(3)T), les modules KAME pour FreeBSD et FreeS/WAN pour Linux, limplmentation native dans OpenBSD, limplmentation dans AIX 4.3 de Bull SA... Dans les routeurs, IPsec est principalement utilis pour la cration de rseaux privs virtuels. Intgr dans un garde-barrire, il reprsente une volution par rapport aux simples filtres - IPsec permet des fonctionnalits supplmentaires et une amlioration de la scurit - mais ne remplace pas ncessairement les relais applicatifs. Enfin, intgr dans des systmes dexploitation gnralistes, il peut tre exploit sur des machines tenant lieu de passerelle de scurit comme de serveur.
Htes finaux

Les htes finaux sont des machines situes lextrmit dune communication. Ce terme englobe en particulier les serveurs applicatifs ou de donnes et les postes utilisateurs (station de travail, ordinateur portable...). Dans ces cas, les implmentations modifient ou sinterfacent avec la pile TCP/IP du systme. Cela peut aller dune implmentation native dans le systme dexploitation (comme pour OpenBSD) un simple module ajouter sur la machine (cest le cas pour beaucoup dimplmentations clientes pour 8

Windows) en passant par une recompilation du noyau du systme (KAME pour FreeBSD et FreeS/WAN pour Linux). Une machine, qui possde un systme dexploitation comprenant IPsec ou un module IPsec sinterfaant avec sa pile rseau, est alors en mesure dutiliser ce protocole pour protger ses changes avec dautres quipements compatibles IPsec, que ce soient dautres htes finaux ou des passerelles de scurit. Lorsque IPsec est install sur un serveur sensible, il peut tre utilis pour protger laccs ce serveur. Install sur une machine utilisateur, il permet daccder aux serveurs ou aux rseaux protgs par IPsec.
Fonctionnalits fournies et restrictions lgales

Nous avons mentionn dans la premire partie le fait que chaque produit comportant IPsec est livr avec un ensemble dalgorithmes, parmi lesquels lutilisateur ou ladministrateur du rseau pourront choisir. Cette faon de procder permet de se conformer des contraintes lgislatives en fournissant des versions ne comportant que certains algorithmes ou ne rendant possible lutilisation que de certaines longueurs de clef. En France, la rglementation sur les moyens et prestations de cryptologie contrle les oprations de fourniture, dimportation, dexportation et dutilisation ; elle prvoit, suivant les cas, trois procdures : demande dautorisation, dclaration pralable ou dispense de formalits. Limportation et lutilisation de moyens de chiffrement utilisant des clefs dune taille infrieure ou gale 40 bits sont totalement libres, seule la fourniture requiert une dclaration pralable ; cette taille de clef est cependant largement insuffisante de nos jours. Entre 40 et 128 bits, limportation et lutilisation ont t libralises par un dcret le 17 mars 1999, condition pour les entreprises utilisatrices que le produit ait fait lobjet dune dclaration pralable par son fournisseur ou par un importateur. Cela devrait conduire lapparition sur le march franais de produits qui, parce quils ont fait lobjet dune dclaration de la part de leur fournisseur, pourront tre utiliss sans formalits par les entreprises. Dans le cas o le fournisseur naurait pas fait les dmarches ncessaires auprs du SCSSI, lentreprise qui dsire nanmoins importer et/ou utiliser un tel produit peut le faire, moyennant une dclaration pralable de sa part. Au-del de 128 bits, une demande dautorisation est pour le moment toujours ncessaire. Dune manire gnrale, il convient, lors de lacquisition dun produit IPsec, de vrifier la liste des fonctionnalits fournies par ce produit. En effet, de nombreux fournisseurs proposent diffrentes versions de leurs produits, avec diffrents niveaux de fonctionnalits. En particulier, on trouve encore beaucoup de produits qui ne comportent que du chiffrement faible (40 bits, DES simple), lequel est proscrire ds que des donnes confidentielles sont protger. On notera cependant que lutilisation dIPsec pour de lauthentification seule apporte dj un service de scurit considrable. Dautre part, la gestion dynamique des clefs pour IPsec tant relativement rcente, certains produits ne proposent quune gestion manuelle des clefs ou nincluent pas la possibilit dauthentification mutuelle au moyen de clefs publiques mais seulement par secret partag. 2.2. Dployer IPsec : planification, installation et configuration
Les tapes du dploiement

IPsec sinsrant au cur mme du rseau, son dploiement requiert avant tout une tape didentification des besoins. Il convient tout dabord dtablir le plan du rseau et didentifier les communications scuriser. Dans ce but, ltablissement dune cartographie des flux peut savrer ncessaire. Une fois les communications scuriser identifies, il convient de choisir le type de scurisation souhaite : chiffrement et/ou authentification des donnes, mode dauthentification des tiers, niveau de granularit souhait, algorithmes utiliser...

Une fois ces choix globaux tablis, on peut passer une seconde phase qui consiste identifier les quipements concerns par la mise en uvre de la politique de scurit retenue et calculer les rgles faire appliquer par chaque quipement. Cest galement cette tape quinterviendra ventuellement le choix et la mise en uvre de linfrastructure clefs publiques laquelle auront recours les quipements IPsec. Il ne reste alors plus qu installer et configurer IPsec sur lensemble des quipements prcdemment identifis.
Installation dIPsec sur une machine

Linstallation dIPsec sur un quipement donn varie en fonction de la faon dont se prsente IPsec pour cet quipement : intgr dans le produit ou module ajouter (avec ou sans recompilation du noyau). Lorsque IPsec est intgr dans un produit, linstallation se rsume souvent une mise jour du produit et ne ncessite pas de comptences supplmentaires. Lorsque IPsec sintgre dans un systme dexploitation, la mise jour du systme peut savrer dlicate et ncessiter un arrt prolong de la machine concerne. Il sera donc prfrable de tester linstallation sur une machine hors production au pralable. Les implmentations actuelles pour les systmes Unix sont gnralement trs compltes en terme de fonctionnalits fournies mais peu conviviales. Elles ncessitent de bien connatre le systme. loppos, les modules ajouter un systme propritaire comme Windows ne fournissent, en gnral que des fonctionnalits rduites mais sont trs simples installer.
Configuration dIPsec

Linterface et la mthode de configuration dIPsec varient fortement dun produit lautre ; en particulier, tous les fournisseurs ne font pas de distinction claire entre les politiques de scurit et les associations de scurit telles quelles ont t prsentes dans la partie 1, ce qui peut prter confusion. Pour chaque quipement, il faut donc consulter la documentation et apprendre les commandes correspondantes. Lutilisateur est gnralement aid par le fait que de nombreux paramtres sont positionns par dfaut sur des valeurs classiques. Un point important retenir est que, pour que deux quipements puissent sentendre, ils doivent tre configurs avec des paramtres similaires ; cela ncessite une concertation dans le cas o les deux quipements faire dialoguer ne seraient pas sous la responsabilit de la mme personne. Il nexiste pas encore de produit de configuration globale, mme si des initiatives commencent apparatre du ct des fournisseurs et si des rflexions en ce sens ont dbut dans le groupe de travail IPsec. 2.3. Exemples de dploiements : rseaux privs virtuels, extranet, serveurs protgs... Ce paragraphe prsente trois exemples typiques dutilisation dIPsec dans un rseau dentreprise. Il va de soi que, dans la pratique, ces trois cas peuvent tre combins et dclins en de nombreuses variantes.
Exemple 1 : rseaux privs virtuels

Une premire utilisation possible dIPsec est la cration de rseaux privs virtuels entre diffrents rseaux privs spars par un rseau non fiable comme lInternet. Les matriels impliqus sont les passerelles de scurits en entre/sortie des diffrents rseaux (routeurs, gardes-barrires, botiers 10

ddis). Cette configuration ncessite donc linstallation et la configuration dIPsec sur chacun de ces quipements afin de protger les changes de donnes entre les diffrents sites.

Rseau interne B Tunnel A-B Rseau interne A Passerelle A Tunnel A-C Rseau interne C Passerelle C Passerelle B

Rseau public

Tunnel B-C

Figure 2. Rseaux privs virtuels Cet usage dIPsec prsente un certain nombre de limites : Si beaucoup de communications doivent tre chiffres, des problmes de performances peuvent apparatre. La configuration des quipements IPsec se faisant souvent manuellement et statiquement, lutilisation dune telle configuration avec un nombre lev de sites et de tunnels est pour le moment difficile. La protection intervient seulement sur la traverse du rseau public, il ny a pas de protection de bout en bout des communications.
Exemple 2 : extranet

Dans lexemple prcdent, on dsirait permettre des communications sres entre diffrents sites fixes. Un autre cas est celui o les communications scuriser ne sont pas fixes mais au contraire intermittentes et dorigines variables. Cest le cas, par exemple, lorsquon dsire permettre des employs ou des partenaires situs lextrieur de lentreprise daccder au rseau interne sans diminuer le niveau de scurit (donc en mettant en uvre une confidentialit et un contrle daccs forts). Les matriels impliqus sont les portes dentres du rseau (serveur daccs distants, liaison Internet...) et les machines utilises par les employs (ordinateur portable, ordinateur personnel au domicile...).

11

Serveur d'accs distant

Tunnel 1 RTC / RNIS Employ mobile Tunnel 2 Internet

Rseau interne

Accs Internet

Partenaire

Figure 3. Extranet Cette configuration ncessite linstallation dIPsec sur les postes de tous les utilisateurs concerns et la gestion dune ventuelle base de donnes adapte pour stocker les profils individuels. En contrepartie, elle reprsente un gros apport pratique pour les employs qui se dplacent beaucoup, sans diminution de la scurit du rseau.
Exemple 3 : protection dun serveur sensible

Dans les deux exemples prcdents, lapproche choisie tait oriente vers la protection du rseau de lentreprise dans son ensemble. On peut galement vouloir utiliser IPsec pour protger laccs une machine donne. Par exemple, si un serveur contient des donnes sensibles que seul un nombre rduit de personnes (internes ou externes lentreprise) doit pouvoir consulter, IPsec permet de mettre en uvre un contrle daccs fort et un chiffrement des donnes pendant leur transfert sur le rseau. Les matriels impliqus dans ce type de configuration sont le serveur sensible et les machines de toutes les personnes devant accder aux donnes.
Communication scurise Rseau Utilisateur Serveur sensible

Figure 4. Serveur sensible IPsec rend la scurisation possible quelles que soient les applications utilises pour accder au serveur.

12

Conclusion
IPsec est un systme trs complet qui peut rpondre beaucoup de besoins en matire de scurit et sadapter de nombreuses situations. Sa conception en fait un systme trs sr et sa nature de norme garantit linteroprabilit entre les quipements de diffrents fournisseurs. Ces avantages, coupls la prdominance grandissante du protocole IP, vont certainement faire dIPsec un acteur important de la scurit des rseaux informatiques. Il lui manque encore, pour tre utilis grande chelle, un peu de maturit et surtout un systme de gestion centralise et dynamique des politiques de scurit. Les avances actuelles dans ce domaine laissent penser quil ne sagit que dune question de temps avant quun tel systme ne voie le jour. Lapparition dinfrastructures clefs publiques fonctionnelles et reconnues est galement indispensable pour une utilisation pratique et rpandue dIPsec.

13