SUR CETTE PAGE
Présentation des associations de sécurité IPsec
Associations de sécurité IPsec
Un autre élément à prendre en compte sur IPSec est le type d’association de sécurité (SA) que vous souhaitez implémenter. Une SA est un ensemble de spécifications IPSec qui sont négociées entre les équipements qui établissent une relation IPSec. Ces spécifications incluent des préférences concernant le type d’authentification, le chiffrement et le protocole IPSec à utiliser lors de l’établissement de la connexion IPSec. Une SA peut être unidirectionnelle ou bidirectionnelle, selon les choix de l’administrateur réseau. Une SA est identifiée de manière unique par un indice de paramètres de sécurité (SPI), une adresse de destination IPv4 ou IPv6 et un identifiant de protocole de sécurité (AH ou ESP).
Vous pouvez configurer IPSec à l’aide d’une SA manuelle préréglée ou prépartagée ou utiliser IKE pour établir une SA dynamique. Les SA manuelles nécessitent que vous spécifiiez toutes les exigences IPSec au préalable. À l’inverse, les SA dynamiques IKE contiennent généralement des paramètres de configuration par défaut pour les niveaux d’authentification et de chiffrement les plus élevés.
IPSec Modes
Lors de la configuration d’IPSec, le dernier élément important à prendre en compte est le type de mode IPSec que vous souhaitez implémenter dans votre réseau. Junos OS prend en charge les modes IPSec suivants :
Le mode tunnel est pris en charge pour AH et ESP dans Junos OS et constitue le choix habituel pour un routeur. En mode tunnel, la SA et les protocoles associés sont appliqués aux paquets IPv4 ou IPv6 tunnelisés. Dans le cas d’une SA en mode tunnel, un en-tête IP externe spécifie la destination de traitement IPSec, et un en-tête IP interne spécifie la destination finale du paquet. L’en-tête du protocole de sécurité s’affiche après l’en-tête IP externe et avant l’en-tête IP interne. De plus, il existe de légères différences pour le mode tunnel lorsque vous l’implémentez avec AH et ESP :
Pour AH, des parties de l’en-tête IP externe sont protégées, ainsi que l’ensemble du paquet IP tunnelisé.
Pour ESP, seul le paquet tunnelisé est protégé, pas l’en-tête externe.
Lorsqu’un côté d’une association de sécurité est une passerelle de sécurité (telle qu’un routeur), la SA doit utiliser le mode tunnel. Toutefois, lorsque le trafic (par exemple, les commandes SNMP ou les sessions BGP) est destiné à un routeur, le système agit comme un hôte. Le mode transport est autorisé dans ce cas, car le système n’agit pas comme une passerelle de sécurité et n’envoie ni ne reçoit de trafic de transit.
Le mode de transport fournit une association de sécurité entre deux hôtes. En mode transport, les protocoles protègent principalement les protocoles de couche supérieure. Pour les paquets IPv4 et IPv6, un en-tête de protocole de sécurité en mode transport apparaît immédiatement après l’en-tête IP et toutes les options, ainsi que tout protocole de couche supérieure (par exemple, TCP ou UDP). Il y a de légères différences pour le mode de transport lorsque vous l’implémentez avec AH et ESP :
Pour AH, des parties sélectionnées de l’en-tête IP sont protégées, ainsi que des parties sélectionnées des en-têtes d’extension et des options sélectionnées dans l’en-tête IPv4.
Pour ESP, seuls les protocoles de couche supérieure sont protégés, pas l’en-tête IP ou les en-têtes d’extension précédant l’en-tête ESP.
La prise en charge du mode de transport IPSec est principalement limitée à l’authentification de routage et à certaines configurations uniquement pour les applications utilisant le code FIP Junos.