VPN IPSec : en quoi cela consiste et comment ils fonctionnent

Qu'est-ce que IPSec ?

L’ensemble de protocoles IPSec comprend les protocoles suivants : Authentication Header (AH), Encapsulated Security Payload (ESP), Internet Security Association and Key Management Protocol (ISAKMP) et IP Payload Compression (IPComp).

• AH (Authentication Header) : AH fournit l’authentification de l’origine des données des paquets IP (datagrammes), garantit l’intégrité sans connexion et offre une protection contre les attaques par rejeu (grâce à la technique de la fenêtre glissante). AH offre également des authentifications importantes pour les en-têtes IP et les protocoles de la couche supérieure.
• ESP (Encapsulated Security Payload) : ESP est chargé de fournir l’authentification, l’intégrité et la confidentialité des données. ESP assure également la confidentialité des données transférées et l’authentification des messages dans l’ensemble de protocoles IPSec.
En mode tunnel, il encapsule l’ensemble du paquet IP, alors qu’en mode transport, seules les données transférées sont protégées.
• ISAKMP (Internet Security Association and Key Management Protocol) : ISAKMP est chargé des associations de sécurité (SA) – un ensemble de clés et d’algorithmes convenus au préalable et utilisés par les parties lors de l’établissement d’un tunnel VPN. Cela comprend Kerberized Internet Negotiation of Keys (KINK) et Internet Key Echange (IKE et IKEv2).
• IPComp (IP Payload Compression) : IPComp est un protocole de compression qui réduit la taille des paquets IP, améliorant la fluidité de la communication entre deux parties. Il est particulièrement utile lorsque la communication est excessivement lente, par exemple lorsque les liaisons sont encombrées. IPComp n’offre pas de sécurité et doit être utilisé avec AH ou ESP sur des tunnels VPN.

Modes de fonctionnement du VPN IPSec

Voyons la différence entre les deux modes de fonctionnement de IPSec :

Mode Tunnel

Le cryptage VPN en mode tunnel encapsule chaque paquet sortant avec de nouveaux paquets IPSec en utilisant ESP. Le mode tunnel utilise également AH pour l’authentification côté serveur.

Ainsi, IPSec utilise le mode tunnel sur des passerelles sécurisées telles qu’un pare-feu, qui relie les deux parties communicantes.

Mode Transport

Le mode transport crypte et authentifie les paquets IP envoyés entre deux parties communicantes.

Ainsi, le mode transport est souvent réservé aux communications dites « d’hôte à hôte », étant donné qu’il ne modifie pas l’en-tête IP des paquets sortants.

Algorithmes cryptographiques pour IPsec

IPSec s’appuie sur des algorithmes sécurisés qui respectent la confidentialité, l’intégrité et l’authenticité.

Ils comprennent :

• Des algorithmes d’authentification tels que RSA, PSK et la cryptographie sur les courbes elliptiques.
• Algorithmes de chiffrement symétrique tels que AES-CBC et GCM, HMAC-SHA, le Triple DES et ChaCha20-Poly1305.
• Algorithmes d’échange de clés tels que la courbe elliptique Diffie-Hellman et l’échange de clés Diffie-Hellman.

Comment fonctionne IPSec ?

Vous trouverez ci-dessous une description générale, étape par étape, du fonctionnement d’IPSec.

En général, le processus commence par les hôtes (parties communicantes) qui déterminent si les paquets entrants ou sortants doivent utiliser IPSec.

Si les paquets déclenchent des politiques IPSec, alors le processus se poursuit comme suit :

• Négociation et échange de clés : cette étape comprend l’authentification des hôtes et les politiques à utiliser. Dans la première phase, les hôtes créent un canal sécurisé. Les négociations se font en utilisant soit le mode principal (pour une plus grande sécurité), soit le mode agressif (pour un établissement plus rapide du circuit IP).
En mode principal, tous les hôtes conviennent d’un IKE pour l’établissement du circuit IP. En mode agressif, l’hôte initiateur présente l’IKE pour l’établissement du circuit IP et l’autre hôte doit l’accepter. Dans la deuxième phase, les hôtes négocient et conviennent du type d’algorithmes cryptographiques à utiliser pendant la session.
• Transmission : il s’agit de l’échange de données entre les hôtes. En général, IPSec décompose les données en paquets avant de les envoyer sur le réseau. Les paquets comprennent plusieurs segments comme la charge utile transférées et les en-têtes. IPSec ajoute également des remorques et d’autres segments qui contiennent les informations d’authentification et de cryptage.
• Fin de la transmission : il s’agit de la dernière étape, et elle implique la fin du canal sécurisé IPSec. La fin se produit lorsque l’échange de données est terminé ou que la session a expiré. Les clés cryptographiques sont également éliminées.

VPN IPsec vs. VPN SSL

Outre le VPN IPSec, les fournisseurs de VPN peuvent également utiliser le VPN SSL pour sécuriser votre connexion sur Internet. En fonction du niveau de sécurité nécessaire, les fournisseurs de VPN peuvent mettre en œuvre les deux ou choisir l’un plutôt que l’autre.

Les VPN SSL reposent sur le protocole TLS (Transport Layer Security). Contrairement à IPSec, qui opère à la couche IP, TLS opère à la couche de transport. Ainsi, la sécurité et les applications du VPN IPSec et du VPN SSL diffèrent.

Avec le VPN IPSec, votre trafic est sécurisé lorsqu’il se déplace vers et depuis des réseaux privés et divers hôtes ; en un mot, vous pouvez protéger l’ensemble de votre réseau. Ainsi, le VPN IPSec est fiable pour les utilisations et les applications basées sur l’IP.

Le VPN SSL protège le trafic entre les utilisateurs distants. Dans la plupart des cas, le VPN SSL fonctionne avec des hôtes qui prennent en charge les applications basées sur un navigateur.