La leçon précédente, nous avions appris à propos d’IKEv1 et des échanges de messages IKEv1 en Phase1 (Mode principal / Mode agressif) et en Phase2 (Mode rapide). Dans IKEv1, il y a neuf échanges de messages si IKEv1 Phase 1 est en mode principal (six messages pour le mode principal et trois messages pour le mode rapide) ou six échanges de messages si IKEv1 phase 1 est en mode agressif (Trois messages pour le mode agressif et trois messages pour le mode rapide).

Internet Key Exchange Version 2 (IKEv2) est la prochaine version d’IKEv1. IKEv2 a été défini initialement par le RFC 4306 puis obsolète par le RFC 5996. Les RFC actuels IKEv2 sont les RFC 7296 et 7427. IKEv2 possède la plupart des fonctionnalités d’IKEv1.

Comme IKEv1, IKEv2 a également un processus de négociation en deux phases. La première phase est appelée IKE_SA_INIT et la deuxième phase est appelée IKE_AUTH. À la fin du deuxième échange (Phase 2), le premier enfant SA créé. ENFANT SA est le terme IKEv2 pour IKEv1 IPSec SA.

Ultérieurement, il est possible de créer des associations de sécurité supplémentaires pour enfants afin d’utiliser un nouveau tunnel. Cet échange est appelé échange CREATE_CHILD_SA. De nouvelles valeurs Diffie-Hellman et de nouvelles combinaisons d’algorithmes de chiffrement et de hachage peuvent être négociées lors de l’échange CREATE_CHILD_SA.

IKEv2 fonctionne sur les ports UDP 500 et 4500 (IPsec NAT Traversal). Les périphériques configurés pour utiliser IKEv2 acceptent les paquets des ports UDP 500 et 4500.

Les homologues IKEv2 IPSec peuvent être validés à l’aide de clés pré-partagées, de certificats ou du protocole EAP (Extensible Authentication Protocol). Le protocole EAP (Extensible Authentication Protocol) autorise d’autres méthodes d’authentification héritées entre homologues IPSec.

IKEv2 Phase 1 Message 1


Dans IKEv2, le premier message de l’initiateur au répondeur (IKE_SA_INIT) contient les propositions d’association de sécurité, les algorithmes de chiffrement et d’intégrité, les clés Diffie-Hellman et les Nonces.

IKEv2 Phase 1 Message 2


Dans IKEv2, le deuxième message du répondeur à l’initiateur (IKE_SA_INIT) contient les propositions d’association de sécurité, les algorithmes de chiffrement et d’intégrité, les clés Diffie-Hellman et les Nonces.

Notez que les messages 1 et 2 ne sont pas protégés. Maintenant, les pairs IPSec génèrent le SKEYSEED qui est utilisé pour dériver les clés utilisées dans IKE-SA. Toutes les futures clés IKE sont générées à l’aide de SKEYSEED. Après les messages 1 et 2, les prochains messages sont protégés en les cryptant et en les authentifiant.

IKEv2 Phase 1 – Messages 3 et 4


Les troisième et quatrième massages (IKE_AUTH) sont cryptés et authentifiés via le SA IKE créé par les messages 1 et 2 précédents (IKE_SA_INIT). Ces deux messages sont destinés à l’authentification. Identité de l’initiateur et du répondant, échange de certificats (si disponible) terminée à ce stade. Les troisième et quatrième massages (IKE_AUTH) servent à authentifier les messages précédents, à valider l’identité des homologues IPSec et à établir le premier CHILD_SA.

À la fin des messages 3 et 4, les identités des homologues IPSec sont vérifiées et le premier CHILD_SA est établi.

Show CommentsClose Comments

Leave a comment