j'ai compris

[Dr.WoW] [No.29] Présentation de IPSec

publié il y a  2020-4-29 22:35:10 9 0 0 0

Avec l'utilisation répandue du GRE et du L2TP, le privé "Tiandihui" (lit. Heaven and Earth Society, en référence aux groupes de résistance anti-dynastie Qing) a également suivi le rythme, déployant des GRE d'hôte à sous-hôtes. et L2TP. Les hôtes et sous-hôtes utilisent des tunnels GRE et L2TP pour échanger et transmettre des messages. La cause du «renversement de la dynastie Qing et de la restauration de la dynastie Ming» bat son plein. Cependant, les bons moments durent rarement longtemps et bon nombre des messages confidentiels transmis entre les hôtes et les sous-hôtes ont été saisis par des "fonctionnaires du gouvernement". Les groupes de clients sous-hôtes ont été arrondis à la douzaine. Un courant sous-jacent déferle sur Internet et la route à suivre est périlleuse.

Face à la vie et à la mort de la faction, l'hôte Chen s'est empressé de convoquer une conférence pour discuter des contre-mesures. Le problème à résoudre, qu'il s'agisse du GRE ou du L2TP, aucune mesure de chiffrement de sécurité n'a été prise pour les tunnels établis, et en tant que tel, il est trop facile pour les "responsables gouvernementaux" de saisir des messages confidentiels en clair transmis entre les hôtes et les sous-hôtes via tunnels GRE et L2TP. Tiandihui était confronté à la question d'assurer le transfert sécurisé des messages. Les lignes privées sont une solution possible, mais les trésors du Sutra de 42 chapitres restent à découvrir. À court d'argent pour la construction de lignes privées d'hôte à sous-hôte, Tiandihui doit chercher un recours par le biais d'une ressource commune existante - Internet.

Après avoir rendu hommage à l'hôte suprême, Tiandihui a finalement trouvé la réponse: IPSec (sécurité IP). En tant que technologie VPN de nouvelle génération, IPSec peut établir des lignes dédiées sécurisées et stables sur Internet. Comparé aux GRE et aux L2TP, IPSec est plus sécurisé et peut garantir le transfert sécurisé des messages entre les hôtes et les sous-hôtes.

1 Cryptage et authentification

Pour discuter IPSec n'est pas une tâche facile. Ce n'est pas une seule manœuvre, mais plutôt un ensemble de tactiques. IPSec emprunte intelligemment l'art des tromperies à l'école de cryptologie et a créé son propre mélange unique de métamorphose pour un passage sûr à travers les AH (Authentication Headers) et ESP (Encapsulating Security Payloads) changeants pour une identification positive afin de «rendre le jade intact à sa plate-forme ** ul propriétaire ". Même si le message est intercepté, personne ne le comprendrait jamais, et tout message qui a été falsifié peut être repéré presque instantanément.

l   Changement de forme pour un passage sûr - cryptage

Comme indiqué à l' étape 11 de 5.1.1.1.1. Figure 1-1 , IPSec emprunte une astuce simple - avant que l'une ou l'autre extrémité ne transmette un message, un algorithme de chiffrement et une clé de chiffrement sont d'abord utilisés pour changer l'en-tête du message; ce processus est appelé chiffrement. Une fois que l'autre extrémité reçoit le message, le même algorithme de chiffrement et la même clé de chiffrement sont utilisés pour restaurer le message dans son état d'origine; ce processus est appelé décryptage. Alors que le message est transmis, il est impossible de voir sa véritable nature, laissant les auteurs les mains vides.

Figure 1-1 Schéma du chiffrement / déchiffrement des paquets


[Dr.WoW] [No.29] Présentation IPSec-1236187-1 

Lorsque les hôtes et sous-hôtes Tiandihui doivent échanger des messages, les deux extrémités doivent d'abord accepter un algorithme de chiffrement et une clé de chiffrement. Supposons que l'hôte doit envoyer la commande "15 août, rives du lac Taihu, organisant un grand événement" au sous-hôte. L'hôte doit d'abord utiliser un algorithme de chiffrement incohérent pour brouiller le texte. Ensuite, une fois que la clé de chiffrement "Renverser le Qing pour restaurer le Ming" est insérée, la commande chiffrée lira enfin un message comme "Renverser 15 les rives du lac Taihu Qing pour que le rétablissement soit le grand événement août Ming" qui est ensuite transmis. . Même si ce message est intercepté par des "fonctionnaires du gouvernement" en cours de route, ils seront perplexes, sans même une trace de la signification d'origine. Une fois que le sous-hôte reçoit le message,il utilisera le même algorithme chiffré et la même clé de déchiffrement "Renverser le Qing pour restaurer le Ming", de sorte que le message sera restauré à sa commande d'origine "15 août, rives du lac Taihu, organisant un grand événement".

Les hôtes et sous-hôtes utilisent la même clé pour le chiffrement et le déchiffrement. Cette méthode est également connue sous le nom d'algorithme de chiffrement symétrique (ou algorithme à clé symétrique), dont il existe 3 - DES, 3DES et AES. Voir le tableau 1-1 pour une comparaison des 3 algorithmes.

Tableau 1-1 Algorithmes de chiffrement symétriques


Article

DES

3DES

AES

Nom complet

Norme de chiffrement des données

Norme de chiffrement triple des données

Standard d'encryptage avancé

Longueur de clé (bits)

56

168

128, 192. 256

Niveau de sécurité

Faible

Moyen

Haute



 

l Identification positive pour "remettre le jade intact à son propriétaire de plate-forme ** ul" - authentification

L'authentification par paquets, comme le montre la figure 1-2 , est un processus dans lequel un algorithme d'authentification et une paire de clés d'authentification sont utilisés avant que le message ne soit transmis pour "signer les papiers" et créer une signature. Ensuite, la signature est envoyée avec le message. Une fois que l'autre extrémité reçoit le message, le même algorithme d'authentification et la même paire de clés d'authentification sont utilisés pour obtenir la même signature. Si le paquet est envoyé avec une signature, et si la signature est la même, il vérifiera que le message n'a pas été falsifié.


Figure 1-2 Schéma de l'authentification par paquet

[Dr.WoW] [No.29] Présentation IPSec-1236187-2

 

Outre l'authentification de l'intégrité du message, IPSec peut également authentifier la source du message. Autrement dit, il identifie positivement le message pour garantir que le message a été envoyé par le véritable expéditeur.

En général, l'authentification et le chiffrement sont utilisés en tandem, et les paquets chiffrés passent par un algorithme d'authentification pour générer des signatures. Les algorithmes des séries MD5 et SHA sont deux formes courantes d'authentification. Voir le tableau 1-2 pour une comparaison des deux.

Tableau 1-2 Algorithmes d'authentification


Article

MD5

SHA1

SHA2

Nom complet

Résumé des messages 5

Algorithme de hachage sécurisé 1

Algorithme de hachage sécurisé 2

Longueur de la signature (bits)

128

160

SHA2-256: 256

SHA2-384: 384

SHA2-512: 512

Niveau de sécurité

Faible

Moyen

Haute


 

Des deux exploits d'IPSec, les AH ne peuvent être utilisés que pour l'authentification mais pas pour le chiffrement. ESP, d'autre part, peut être utilisé à la fois pour le chiffrement et l'authentification. AH et ESP peuvent être utilisés indépendamment ou en tandem.

2 Encapsulation de sécurité

Tiandihui ne peut pas lever leurs bannières "anti-Qing" ni proclamer leur mission, ils doivent donc souvent masquer leurs actions par le biais de formes commerciales "légitimes". Par exemple, l'identité publique d'un hôte peut être celle d'un commerçant en ligne et l'identité publique d'un sous-hôte peut être un acheteur; un tel échange pourrait bien être le meilleur fourre-tout. Pour mieux utiliser ce fourre-tout, IPSec a conçu deux modes d'encapsulation:

l   Réparer ouvertement la galerie le jour en passant secrètement par Chencang - mode tunnel

Avec la tunnellisation, avant qu'un en-tête AH ou ESP soit inséré dans l'en-tête IP d'origine, un nouvel en-tête de paquet est généré et placé avant l'en-tête AH ou ESP, comme le montre la figure 1-3 .


Figure 1-3 Encapsulation de paquets en mode tunnel

[Dr.WoW] [No.29] Présentation IPSec-1236187-3

 

Le tunnel utilise le nouvel en-tête de paquet pour encapsuler le message; les nouvelles adresses IP source et de destination de l'en-tête IP servent de deux adresses IP publiques du tunnel; de cette façon, le tunneling utilise deux passerelles pour établir un tunnel IPSec, garantissant ainsi la communication entre les deux réseaux derrière chaque passerelle. Il s'agit actuellement de l'un des modes d'encapsulation les plus couramment utilisés. Les messages au sein du réseau privé d'hôte à sous-hôte sont souvent déguisés en communication quotidienne entre les identités de l'hôte et du sous-hôte (adresses IP publiques) en tant qu'armateur et acheteur une fois que le message est crypté et encapsulé pour gagner. t être soupçonné.

l   "La porte s'ouvre sur une vue sur les montagnes"; coup sur coup - mode de transfert

Dans un transfert, l'en-tête AH ou l'en-tête ESP est inséré entre l'en-tête IP et TCP, comme le montre la figure 1-4 .


Figure 1-4 Encapsulation des paquets en mode transfert

[Dr.WoW] [No.29] Présentation IPSec-1236187-4

 

Dans un transfert, l'en-tête de paquet reste inchangé et les adresses IP source et destination du tunnel sont les adresses IP source et destination finales de la chaîne de communication. En tant que tel, seuls les messages envoyés entre les deux extrémités sont protégés au lieu de tous les messages à l'échelle du réseau. Pour cette raison, ce mode n'est utile que pour la communication entre deux parties plutôt que pour les réseaux privés entre les hôtes et sous-hôtes Tiandihui.

3 associations de sécurité

Une connexion établie dans IPSec entre deux extrémités est connue sous le nom de SA (Security Association). Comme son nom l'indique, les deux extrémités deviennent des associés dans lesquels le même mode d'encapsulation, l'algorithme de chiffrement, la clé de chiffrement, l'algorithme d'authentification et la clé d'authentification sont utilisés, ce qui nécessite naturellement une confiance mutuelle et un certain degré d'intimité.

Une SA est une connexion unidirectionnelle, dans laquelle les hôtes et sous-hôtes établiront une SA pour protéger tous les aspects de la communication. Les SA entrantes hôtes correspondent aux SA sortantes sous-hôtes et les SA sortantes hôtes correspondent aux SA entrantes sous-hôtes, comme le montre la figure 1-5 .


Figure 1-5 Schéma de l'association de sécurité IPSec

[Dr.WoW] [No.29] Présentation IPSec-1236187-5

 

Pour différencier les SA dans des directions différentes, IPSec ajoutera un identifiant unique à chaque SA. Cet identifiant est appelé SPI (Security Parameter Index).

La méthode la plus directe pour établir une SA consiste à demander aux hôtes et aux sous-hôtes de définir les modes d'encapsulation, les algorithmes de chiffrement, les clés de chiffrement, les algorithmes d'authentification et les clés d'authentification, c'est-à-dire d'établir manuellement les SA IPSec.

 

 

Pour afficher la liste de tous les postes techniques du Dr. WoW, cliquez ici.


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise