[Dr.WoW] [No.33] IKEv2

74 0 0 0

1 Présentation d'IKEv2

IKEv1 semblait assez parfait, mais bientôt ses lacunes ont commencé à devenir évidentes.


  • Longs délais de négociation IPSec SA


Pour une seule négociation SA IPSec, le mode principal IKEv1 devra généralement envoyer 6 (négociation IKE SA) + 3 (négociation IPSec SA) = 9 messages.


Pour une seule négociation SA IPSec, le mode agressif IKEv1 devra généralement envoyer 3 (négociation IKE SA) + 3 (négociation IPSec SA) = 6 messages.


  • Pas de support pour les accessions d'utilisateurs distants


IKEv1 ne peut pas effectuer d'authentification pour les utilisateurs distants. Si nous voulons prendre en charge les accessions d'utilisateurs distants, nous pouvons 

uniquement utiliser le protocole L2TP et utiliser l'authentification AAA avec PPP pour authentifier les utilisateurs distants.


Comment gérer cela? Jamais peur! Il n'y a jamais un problème trop difficile à résoudre! IKEv2 est la réponse parfaite à tous ces problèmes.


IKEv2 v.s. IKEv1:


  • Augmentation importante de la vitesse des négociations IPSec SA


La négociation IKEv2 moyenne pour une seule SA IPSec nécessitera seulement 2 (négociation IKE SA) + 2 (négociation IPSec SA) = 4 messages. Les SA IPSec 

successives n'auront besoin que de deux messages supplémentaires.


  • Ajout d'une authentification d'identité de méthode EAP (Extensible Authentication Protocol).


Ici, nous ne discuterons que du processus de base de négociation IKEv2 et ne parlerons pas encore de l’authentification EAP dans notre discussion sur les réseaux 

d’entreprise.


La figure 1-1 illustre l’ensemble de l’environnement réseau, ce qui peut aider à expliquer le fonctionnement réel d’IKEv2.

Figure 1-1 Réseau IKEv2 / IPSec VPN

55c022c39b24c.png

La feuille de route de configuration IKEv2 est presque identique à celle d'IKEv1, avec quelques détours. Comme le montre la figure 1-2, les commandes en italique 

diffèrent de IKEv1. Par défaut, le pare-feu démarrera les protocoles IKEv1 et IKEv2. Lorsque la négociation est initiée localement, IKEv2 est utilisé. Lors de la réception 

d'une négociation, IKEv1 et IKEv2 sont tous deux pris en charge. Donc, nous pouvons aussi laisser IKEv1 activé.


Figure 1-2 Schéma de la configuration IKEv2 / IPSec


55c022d35f9e8.png

2 Processus de négociation IKEv2

Le processus de négociation IKEv2 IPSec SA est très différent de celui d'IKEv1; nous pouvons créer une SA IPSec en aussi peu que 4 messages! Parlez de l'efficacité!


1. Avec 4 messages d'échange initiaux, IKE SA et IPSec SA sont simultanément pris en charge.

L'échange initial IKEv2 utilise 4 messages pour établir IKE SA et IPSec SA. Les messages du paquet de capture sont les suivants:

55c022e09527e.PNG

Comme le montre la figure 1-3, l'échange initial inclut l'échange initial IKE SA (échange IKE_SA_INIT) et l'échange d'authentification IKE (échange IKE_AUTH).


Figure 1-3 Premier échange

55c022ee73102.png

  • Premier message (IKE_SA_INIT)


Cette négociation est responsable des paramètres SA IKE, notamment la proposition IKE, les nombres aléatoires temporaires (nonce) et les valeurs DH.

55c023014f7fc.PNG

La charge utile (payload) SA est principalement utilisée pour négocier les propositions IKE.

55c02311e9260.PNG

KE (Key Exchange) et les charges utiles (payload) nonce sont principalement utilisées pour échanger des matériaux de clé.

55c02320d142d.PNG

Une fois échangé par IKE_SA_INIT, IKEv2 générera finalement 3 types de clés:


?  SK_e: utilisé pour chiffrer le deuxième message.


?  SK_a: utilisé pour authentifier l'identité du deuxième message.


?  SK_d: utilisé pour les matériaux de chiffrement dérivés de la SA enfant (IPSec SA).


  • Deuxième message (IKE_AUTH)

Ceci est responsable de l'authentification d'identité et de la création du premier SA enfant (IPSec SA). Actuellement, il existe deux techniques couramment utilisées 

pour l'authentification d'identité:


? Méthode de la clé pré-partagée (pre-shared key method) (pré-partage): le message d'identité du périphérique est l'adresse IP ou le nom.


? Méthode du certificat numérique: le message d'identité de l'appareil est le certificat et un message partiel Valeur HASH (signature) authentifiée par un cryptage à clé 

privée.


Les messages d'identité utilisent avant tout le cryptage SKEYID_e.


Lorsqu'un SA, enfant, est créé, il doit naturellement aussi négocier une proposition IPSec pour le flux de données protégé. IKEv2 utilisera les charges utiles TS 

(TSi et TSr) pour négocier les règles ACL entre les deux périphériques. Le résultat final est que les deux règles de la liste de contrôle d'accès établissent une 

intersection (ceci est différent de IKEv1; IKEv1 n'a pas de charge utile TS pour négocier la règle d'ACL).


Lorsqu'un seul SA IKE doit créer plusieurs SA IPSec, par exemple lorsque deux homologues IPSec envoient plusieurs flux de données, un échange SA enfant doit 

être utilisé pour négocier les SA IPSec suivants.

2. La SA enfant échange deux messages pour établir une SA IPSec.

55c0233440dbc.PNG

Les échanges SA enfants ne peuvent être effectués qu’une fois l’échange initial IKE terminé. L'initiateur d'échange peut être l'initiateur de l'échange initial IKE ainsi que 

le répondeur à l'échange initial IKE. Ces deux messages seront protégés par la clé de négociation d’échange initial IKE.


IKEv2 prend également en charge la fonction PFS, et un nouvel échange DH peut être effectué et une nouvelle clé IPSec SA générée pendant la phase d'échange 

enfant SA.


Pour afficher la liste de tous les postes techniques de Dr. WoW, cliquez ici.


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier