Voici les trois composants principaux d’IPSec.

1) Protocole IKE (Internet Key Exchange): Le protocole IKE (Internet Key Exchange) est un protocole de sécurité réseau conçu pour permettre à deux périphériques d’échanger de manière dynamique des clés de cryptage et de négocier des associations de sécurité (SA). Les associations de sécurité (SA) Internet Key Exchange (IKE) peuvent être établies de manière dynamique et supprimées à un moment négocié. Internet Key Exchange est un protocole hybride constitué de la combinaison des protocoles Oakley, SKEME (mécanisme polyvalent d’échange de clé sécurisé pour Internet) et ISAKMP (Association de sécurité Internet et protocole de gestion de clé).

• ISAKMP (Internet Security Association) et le protocole de gestion de clé (Key Management Protocol) fournissent un cadre pour l’authentification et l’échange de clé.

• Le protocole Oakley est un protocole d’accord de clé qui permet aux périphériques authentifiés d’échanger des clés à l’aide de l’algorithme d’échange de clé Diffie-Hellman. Oakley prend en charge le secret de transfert parfait (PFS).

• SKEME est un mécanisme d’échange de clés proposé par Hugo Krawczyk (Centre de recherche IBM T.J.Watson). SKEME fournit l’anonymat et permet la répudiation de la communication en évitant l’utilisation de signatures numériques et l’actualisation rapide des clés. SKEME utilise un cookie contre les attaques par déni de service

La RFC 2409 décrit le protocole IKE utilisant Oakley, SKEME avec ISAKMP pour obtenir du matériel de chiffrement authentifié.

Cliquez sur le lien suivant pour en savoir plus sur le protocole IKE (Internet Key Exchange).
2) Encapsulating Security Payload (ESP): IPSec utilise ESP (Encapsulating Security Payload) pour fournir des fonctions d’intégrité des données, de cryptage, d’authentification et d’anti-relecture à un VPN IPSec. Les implémentations de Cisco IPSec utilisent DES, 3DES et AES pour le cryptage de données. ESP authentifie les données au sein du VPN, garantissant ainsi l’intégrité des données et leur provenance.

3) En-tête d’authentification (AH): IPSec utilise l’authentification d’en-tête (AH) pour fournir des fonctions d’intégrité des données, d’authentification et d’anti-relecture pour le VPN IPSec. L’en-tête d’authentification (AH) ne fournit aucun chiffrement de données. L’en-tête d’authentification (AH) peut être utilisé pour fournir des services d’intégrité de données afin de garantir que les données ne sont pas falsifiées pendant leur parcours.

Remarque: ESP est plus largement déployé qu’AH, car il offre tous les avantages d’IPSec, à savoir la protection contre les attaques de confidentialité, d’intégrité, d’authentification et de relecture.

Show CommentsClose Comments

Leave a comment