Infos Société     Compte Client
   Plan du site   Panier
Chercher : dans :  
Chat room
Forum
Informatique
Flasher son bios
Formater son disque dur
Optimiser le fichier swap
Internet
VPN
Son ordinateur
Sa carte mère
Sa carte graphique
Son graveur
PowerPoint
Antivirus en ligne

Les concepts de base

La tunnelisation
C'est la méthode utilisée pour faire transiter des informations privées sur un réseau public. Les tunnels sécurisés garantissent la confidentialité et l'intégrité des données ainsi que l'authenticité des 2 parties.
Dans cette méthode dite d'encapsulation, chaque paquet est complètement chiffré et placé à l'intérieur d'un nouveau paquet.

Les standards de la couche  2 sont PPTP (Point to Point Tranfert Protocol) et L2F (Layer 2 Forwarding) qui ont convergé vers un protocole unique, L2TP (Layer 2 Transfert Protocol).
Le protocole de niveau 3 est standardisé : il s'agit de la norme prescrite par l'IETF pour IP V6 et compatibles IP V4, IPsec.


 Il existe 2 modes de transport distincts :

- Mode Transport : il protège le contenu d'une trame IP en ignorant l'en-tête. Ce mode de transport est généralement utilisé entre les points terminaux d'une connexion.

- Mode Tunnel : plus performant, il crée des tunnels en encapsulant chaque trame dans une enveloppe qui protège tous les champs de la trame. Il est utilisé entre 2 équipements dont au moins un n'est pas un équipement terminal. Les données peuvent être chiffrées (mode ESP) ou pas ( mode AH).

Voici le détail des 3 principaux composants d'IPsec :

AH (Authentication Header) : ce module garantit l'authenticité des trames IP en y ajoutant un champ chiffré destiné à vérifier l'authenticité des données renfermées dans le datagramme.

 AH - Mode Transport :


 
 AH - Mode Tunnel :

ESP (Encapsulating Security Header) : ce procédé assure la confidentialité et l'authenticité des informations en générant des données chiffrées sur une nouvelle trame, à partir de la trame d'origine.

 

Les avantages de la tunnelisation sont multiples. Elle permet de cacher la topologie du réseau, de router des réseaux non-routables au travers d'internet et de faire cohabiter des solutions VPN et pare-feu au niveau de la couche applicative.

IKE (Internet Key Exchange) : Protocole destiné à permettre le partage d'une clé de chiffrage entre émetteur et destinataire, dans le cadre du protocole IPsec. (cf 2.2.3 L'authentification)
 
Le chiffrement
Le chiffrement recommandé par l'IETF est basé sur le standard US, le DES. Celui-ci présente 3 variantes, se distinguant les unes des autres par le nombre de bits utilisés :

- 56-bit DES : simple, craqué en quelques minutes
- 112-bit DES (double DES) : craqué par une attaque en ligne concerné, sans complexité supplémentaire que le 56-bit
- 168-bit DES (triple DES) : basé sur 3 clés indépendantes mais pas aussi difficile à craquer qu'un système à clé de longueur triple.

Aucun chiffrement cependant n'est sûr à 100%. Le Gouvernement a décidé de relever le seuil de chiffrage dont l'utilisation est libre, de 40 bits à 128 bits.

Le protocole DES, quelqu'en soit le type, est symétrique, c'est-à-dire que la même clé de session (ou la même suite de 3 clés dans le cas triple DES) est utilisée par les 2 entités communicantes. Cette clé est changée de manière aléatoire au bout d'un certain temps qui correspond à la durée de vie de cette clé.

Cependant, le problème réside dans l'échange de la valeur de la clé entre les 2 entités. On le résout grâce au protocole de Diffie-Hellman. Celui-ci permet la négociation d'une clé unique, de manière commune. Chaque entité détermine une moitié de la clé et envoie les paramètres permettant de calculer la moitié manquante  à l'autre entité.

Ce protocole étant  asymétrique, il se base sur une paire de clés, une « privée » et une « publique ».

On imagine 2 entités (A et B) et leur jeu de clés privée et publique.
A calcule la moitié de la future clé commune et fournit à B les paramètres permettant de calculer cette moitié. Il utilise la clé publique de B pour chiffrer ces paramètres et les envoie à B. Ce dernier déchiffre le paquet reçu grâce à sa clé privée et calcule la moitié de clé qui lui manque. Il fait une opération similaire de manière à fournir à A sa moitié de clé.

Ainsi, les 2 entités disposent d'une clé commune de session.

La faiblesse de ce type d'échange réside dans la validité de la clé publique. Il s'agit de contrôler l'origine de l'entité qui envoie la clé publique, il faut l'authentifier.

Il est important de noter qu'un chiffrement basé sur une solution matérielle (Asic dédié) se révèle beaucoup plus rapide que son équivalente logicielle

 

Voir aussi
Qu'est-ce qu'un VPN ?
Fonctionnement d'un VPN
Les concepts de base d'un VPN
L'authentification
En résumé

 
 > Première commande
 > Livraison
 > Garanties et S.A.V.
 > Achats sécurisés
> Conditions générales
   de vente.
 

Soyez les premiers informés de nos promotions !

Solution E-commerce développée par Abimac Informatique 2008.   Informations légales.   Les marques et logos cités sur ce site sont la propriété de leurs propriétaires respectifs.