[Dr.WoW] [No.29] Vue d'ensemble d'IPSec

Dernière réponse my. 27, 2019 08:51:28 127 1 10 0


Avec l'utilisation répandue du GRE et du L2TP, les "Tiandihui" privés (littéralement société du Ciel et de la Terre, en référence aux groupes de résistance anti-dynastie des Qing) ont également suivi le rythme du temps, déployant des GRE de hôte à sous-hôte et L2TP. Les hôtes et sous-hôtes utilisent les tunnels GRE et L2TP pour échanger et transmettre des messages. La cause du "renversement de la dynastie Qing et de la restauration de la dynastie Ming" bat son plein. Cependant, les bons moments durent rarement longtemps et bon nombre des messages confidentiels transmis entre hôtes et sous-hôtes ont été saisis par des "représentants du gouvernement". Les groupes de clients du sous-hôte ont été arrondis à la douzaine. Le sous-courant se propage sur Internet et le chemin à parcourir est périlleux.

Face à la vie et à la mort de la faction, l'hôte Chen s'est empressé d'organiser une conférence pour discuter des contre-mesures. Le problème qui se pose, qu’il s’agisse de GRE ou de L2TP, aucune mesure de cryptage de sécurité n’a été prise pour les tunnels établis et, en tant que tel, il est très facile pour les "responsables gouvernementaux" de saisir des messages confidentiels en texte clair transmis entre hôtes et sous-hôtes via les tunnels GRE et L2TP. Tiandihui était confronté à la question d'assurer le transfert en toute sécurité des messages. Les lignes privées sont une solution possible, mais les trésors du soutra de 42 chapitres restent à découvrir. Tiandihui doit avoir recours à une ressource commune existante, l’Internet, à court d’argent nécessaire à la construction de lignes privées hôte à sous-hôte.

Après avoir rendu hommage à l'hôte suprême, Tiandihui a finalement trouvé la réponse: IPSec (IP Security). En tant que technologie VPN de nouvelle génération, IPSec peut établir des lignes dédiées sécurisées et stables sur Internet. Par rapport aux GRE et aux L2TP, IPSec est plus sécurisé et peut garantir le transfert en toute sécurité des messages entre hôtes et sous-hôtes.

1 chiffrement et authentification
Discuter d'IPSec n'est pas une tâche facile. Ce n'est pas une simple manœuvre, mais plutôt un ensemble de tactiques. IPSec emprunte astucieusement l'art de la filature à l'école de la cryptologie et a créé son propre mélange unique de métamorphose pour un passage en toute sécurité grâce aux AH (en-têtes d'authentification) et aux ESP (encapsulating Security Payloads) changeants pour l'identification positive afin de "rendre le jade intact sur son ** ul propriétaire ". Même si le message est intercepté, personne ne le comprendra jamais, et tout message altéré peut être repéré presque instantanément.

  • Changement de forme pour un passage en toute sécurité - chiffrement

Comme indiqué dans la section 5.1.1.1.1 Étape 11. Figure 1, IPSec emprunte une astuce simple: avant que l'une des extrémités ne transmette un message, un algorithme de cryptage et une clé de chiffrement sont d'abord utilisés pour modifier l'en-tête du message; ce processus est appelé cryptage. Une fois que le destinataire a reçu le message, le même algorithme de chiffrement et la même clé de chiffrement sont utilisés pour restaurer le message à son message d'origine. ce processus est appelé décryptage. Lors de la transmission du message, il est impossible de voir sa vraie nature, laissant les coupables les mains vides.

Figure 1-1 Schéma de cryptage / décryptage de paque


55ade85856e99.png

Lorsque les hôtes et les sous-hôtes Tiandihui doivent échanger des messages, les deux extrémités doivent d’abord accepter un algorithme de cryptage et une clé de chiffrement. Supposons que l'hôte envoie la commande "Le 15 août, rives du lac Taihu, organisant un grand événement" au sous-hôte. L’hôte doit d’abord utiliser un algorithme de chiffrement incohérent pour rendre le texte corrompu. Ensuite, une fois que la clé de chiffrement "Renverser le Qing pour restaurer le Ming" est insérée, la commande chiffrée lira finalement un message du type "Renverser 15 les rives du lac Taihu Qing pour la restauration du grand événement August Ming" qui sera ensuite transmis. . Même si ce message est intercepté par des "représentants du gouvernement" en cours de route, ils resteront perplexes sans même avoir la moindre trace du sens original. Une fois que le sous-hôte reçoit le message, il utilisera le même algorithme chiffré et la même clé de déchiffrement "Renverser le Qing pour restaurer le Ming", afin que le message soit restauré dans sa commande d'origine "Le 15 août, au bord du lac Taihu, en tenant un grand événement ".

Les hôtes et sous-hôtes utilisent la même clé pour le chiffrement et le déchiffrement. Cette méthode est également appelée algorithme de chiffrement symétrique (ou algorithme à clé symétrique), dont il existe 3 - DES, 3DES et AES. Voir le tableau 1-1 pour une comparaison des 3 algorithmes.

Tableau 1-1 Algorithmes de chiffrement symétriques

172152rkp978psf8zshok8.png

  • Identification positive permettant de "rendre le jade intact à son ordinateur ** propriétaire" - authentification

L'authentification de paquet, illustrée à la Figure 1-2, est un processus dans lequel un algorithme d'authentification et une paire de clés d'authentification sont utilisés avant que le message ne soit transmis pour "signer les documents" et créer une signature. Ensuite, la signature est envoyée avec le message. Une fois le message reçu par l'autre extrémité, le même algorithme d'authentification et la même paire de clés d'authentification sont utilisés pour obtenir la même signature. Si le paquet est envoyé avec une signature, et si la signature est la même, il vérifiera que le message n'a pas été falsifié.

Figure 1-2 Schéma de l'authentification par paquet


55ade86b02e53.png

Outre l'authentification de l'intégrité du message, IPSec peut également authentifier la source du message. C'est-à-dire qu'il identifie positivement le message pour s'assurer que le message a été envoyé par l'expéditeur réel.

En général, l’authentification et le cryptage sont utilisés en tandem, et les paquets cryptés passent par un algorithme d’authentification pour générer des signatures. Les algorithmes des séries MD5 et SHA sont deux formes d’authentification courantes. Voir le tableau 1-2 pour une comparaison des deux.

Tableau 1-2 Algorithmes d'authentification

175137yo1giiqv8qiwiqzo.png

Parmi les deux prouesses d'IPSec, les AH ne peuvent être utilisés que pour l'authentification mais pas pour le cryptage. En revanche, ESP peut être utilisé à la fois pour le cryptage et l'authentification. AH et ESP peuvent être utilisés indépendamment ou en tandem.

2 Encapsulation de sécurité
Tiandihui ne peut pas brandir ses bannières "anti-Qing" ni proclamer sa mission. Ils doivent donc souvent dissimuler leurs actions par des formes commerciales "légitimes". Par exemple, l'identité publique d'un hôte peut être celle d'un commerçant en ligne, et l'identité publique d'un sous-hôte peut être un acheteur; un tel échange pourrait bien être le meilleur fourre-tout. Pour mieux utiliser cet attrait, IPSec a conçu deux modes d’encapsulation:

  • Réparer ouvertement la galerie le jour en traversant secrètement Chencang - mode tunnel

Avec le tunneling, avant qu'un en-tête AH ou ESP ne soit inséré dans l'en-tête IP d'origine, un nouvel en-tête de paquet est généré et placé avant l'en-tête AH ou ESP, comme illustré à la figure 1-3.

Figure 1-3 Encapsulation de paquets en mode tunnel


55ade87e13e95.png

Le tunnel utilise le nouvel en-tête de paquet pour encapsuler le message. les adresses IP de destination et de destination du nouvel en-tête IP constituent les deux adresses IP publiques du tunnel; de cette manière, le tunneling utilise deux passerelles pour établir un tunnel IPSec, garantissant ainsi la communication entre les deux réseaux situés derrière chaque passerelle. C'est actuellement l'un des modes d'encapsulation les plus couramment utilisés. Les messages au sein du réseau privé hôte à sous-hôte sont souvent déguisés en communications quotidiennes entre les identités de l'hôte et du sous-hôte (adresses IP publiques) en tant que propriétaire du navire et acheteur une fois le message crypté et encapsulé afin de l'emporter. t être soupçonné.

  • La porte s'ouvre sur une vue sur les montagnes"; couper à la chasse - mode de transfert

Lors d'un transfert, l'en-tête AH ou ESP est inséré entre l'en-tête IP et TCP, comme illustré à la figure 1-4.

Figure 1-4 Encapsulation de paquets en mode de transfert


55ade88b5321e.png

Lors d'un transfert, l'en-tête du paquet reste inchangé et les adresses IP source et de destination du tunnel sont les adresses IP source et de destination finales de la chaîne de communication. De ce fait, seuls les messages envoyés entre les deux extrémités sont protégés au lieu de tous les messages du réseau. Pour cette raison, ce mode n'est utile que pour la communication entre deux parties plutôt que pour les réseaux privés entre hôtes et sous-hôtes Tiandihui.

3 associations de sécurité
Une connexion établie dans IPSec entre deux extrémités est appelée une SA (Security Association). Comme leur nom l'indique, les deux extrémités deviennent des partenaires dans lesquels le même mode d'encapsulation, algorithme de cryptage, clé de chiffrement, algorithme d'authentification et clé d'authentification sont utilisés, ce qui nécessite naturellement une confiance mutuelle et un degré d'intimité.

Une SA est une connexion unidirectionnelle dans laquelle les hôtes et les sous-hôtes établiront une SA pour protéger tous les aspects de la communication. Les SA entrantes hôtes correspondent aux SA sortantes des sous-hôtes, et les SA sortantes des hôtes correspondent aux SA entrantes des sous-hôtes, comme illustré à la Figure 1-5.

Figure 1-5 Schéma de l'association de sécurité IPSec


55ade93997708.png

Pour différencier les SA dans différentes directions, IPSec ajoutera un identifiant unique à chaque SA. Cet identifiant s'appelle un SPI (Security Parameter Index).

La méthode la plus directe pour établir une SA consiste à faire en sorte que les hôtes et les sous-hôtes définissent les modes d'encapsulation, les algorithmes de chiffrement, les clés de chiffrement, les algorithmes d'authentification et les clés d'authentification, c'est-à-dire pour établir manuellement les SA IPSec.
 

 

Pour afficher la liste de tous les postes techniques de Dr. WoW, cliquez ici.

  • x
  • Standard:

Rihab
Modérateur publié il y a 2019-5-27 08:51:28 Utile(0) Utile(0)
Utile -- Encapsulation de sécurité
  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier