Expliquer IPSec

  • 3 minutes

Vous pouvez utiliser IPsec pour garantir la confidentialité, l’intégrité et l’authentification dans le transport des données entre les canaux qui ne sont pas sécurisés. Bien que son objectif initial était de sécuriser le trafic entre les réseaux publics, de nombreuses organisations ont choisi d’implémenter IPsec pour corriger les faiblesses perçues de leurs propres réseaux privés susceptibles d’être exploitées.

Si vous implémentez correctement IPsec, il fournit un canal privé pour l’envoi et l’échange de données potentiellement sensibles ou vulnérables, qu’il s’agisse de courrier électronique, de trafic FTP, de flux d’actualités, de données de partenaire et de chaîne d’approvisionnement, de dossiers médicaux ou de tout autre type de données TCP/IP.

IPsec

  • Offre une authentification mutuelle avant et pendant les communications.
  • Force les deux parties à s’identifier pendant le processus de communication.
  • Permet la confidentialité par le biais du chiffrement du trafic IP et de l’authentification par paquets numériques.

Modes IPsec

IPsec a deux modes :

  • Encapsulation de la charge utile de sécurité (ESP). Ce mode chiffre les données à l’aide de l’un des nombreux algorithmes disponibles.
  • En-tête d’authentification (AH). Ce mode signe le trafic, mais ne le chiffre pas.

Fournir l’intégrité du trafic IP en rejetant les paquets modifiés

ESP et AH vérifient l’intégrité de tout le trafic IP. Si un paquet a été modifié, la signature numérique ne correspond pas et IPsec l’ignore. ESP en mode tunnel chiffre les adresses source et de destination dans le cadre de la charge utile. En mode tunnel, ESP ajoute un nouvel en-tête IP au paquet qui spécifie les adresses source et de destination des points de terminaison de tunnel. ESP peut utiliser des algorithmes de chiffrement Standard (DES), Triple Data Encryption Standard (3DES) et Advanced Encryption Standard (AES) dans Windows Server et le client Windows. Il est recommandé d’éviter d’utiliser DES, sauf si les clients ne peuvent pas prendre en charge le chiffrement plus fort offert par AES ou 3DES.

Protection contre les attaques par relecture

ESP et AH utilisent des numéros de séquence. Par conséquent, tous les paquets que les pirates tentent de capturer pour une relecture ultérieure utilisent des numéros qui sont hors séquence. L’utilisation de nombres séquencés garantit qu’un attaquant ne peut pas réutiliser ou relire les données capturées pour établir une session ou obtenir des informations. L’utilisation de nombres séquencés protège également contre les tentatives d’interception d’un message et de l’utiliser pour accéder aux ressources, éventuellement des mois plus tard.

Règles de sécurité de connexion

Vous pouvez protéger un réseau avec deux types d’isolation :

  • Isolation du serveur. Vous pouvez isoler un serveur en configurant des serveurs spécifiques pour exiger une stratégie IPsec avant d’accepter les communications authentifiées à partir d’autres ordinateurs. Par exemple, vous pouvez configurer un serveur de base de données pour accepter les connexions uniquement à partir d’un serveur d’applications web.
  • Isolation de domaine. Vous pouvez isoler un domaine à l’aide de l’appartenance au domaine Active Directory pour vous assurer que les ordinateurs membres du domaine acceptent uniquement les communications authentifiées et sécurisées provenant d’autres ordinateurs membres du domaine. Le réseau isolé se compose uniquement des ordinateurs membres de ce domaine, et l’isolation de domaine utilise une stratégie IPsec pour protéger le trafic entre les membres du domaine, y compris tous les ordinateurs clients et serveurs.