[Dr.WoW] [No.34] Résumé d'IKE et IPSec

65 0 0 0


1 IKEv1 V.S. IKEv2
Comme nous avons déjà beaucoup écrit sur IKEv1 et IKEv2, c’est le bon moment pour nous de résumer les principales différences entre les deux, comme le montre le tableau 1-1.

Tableau 1-1 Comparaison de IKEv1 et IKEv2

Fonction

IKEv1

IKEv2

IPSec SA Establishment Process

Divisé en deux phases. La phase 1 est divisée en deux modes: mode principal et mode agressif; la phase 2 est en mode rapide.
Le mode principal + le mode rapide nécessite 9 messages pour établir IPSec SA.
Le mode agressif + le mode rapide nécessite 6 messages pour établir IPSec SA.

Non divisé en phases. IPSec SA peut être établie avec un minimum de 4 messages.

IKE SA Integrity Authentication

Non supporté

supporté

ISAKMP Payload

Les charges utiles prises en charge diffèrent; Par exemple, IKEv2 prend en charge les charges utiles TS pour les négociations de listes de contrôle d'accès, mais pas IKEv1.
Les charges utiles prises en charge par IKEv1 et IKEv2 présentent également d'autres différences, mais pour l'instant, nous ne mentionnerons que les charges utiles TS.

Authentication Method

Clé Pré-Partagée
certificat numérique
Enveloppe numérique (rarement utilisée)

Clé Pré-Partagée
certificat numérique
PAE
Enveloppe numérique (rarement utilisée)

Remote Access

Via L2TP sur IPSec

Via l'authentification EAP

 

Clairement, IKEv2, avec ses services plus rapides et plus sécurisés, remporte la victoire. Comme dans le Yangtsé, les vagues à venir chevauchent celles qui les précèdent. Pas de surprises ici.

2. profils de protocole IPSec
Protocoles de sécurité (AH et ESP), algorithmes de chiffrement (DES, 3DES, AES), algorithmes d'authentification (MD5. SHA1. SHA2), IKE, DH… avez-vous capturé tout cela? Au cas où cela deviendrait un peu déroutant, le Dr WoW a préparé un résumé pour nous tous. Nous allons jeter un coup d'oeil:

l Protocole de sécurité (AH et ESP) - encapsulation de la sécurité des paquets IP.

Une fois qu'un paquet IP met son gilet AH ou / et ESP, il devient un paquet IPSec. Ce "gilet" n'est pas simplement votre gilet de tous les jours; il s'agit d'un "gilet pare-balles" cousu avec des algorithmes de "cryptage" et "d'authentification". Les différences entre les deux sont indiquées dans le tableau 1-2.

Tableau 1-2 AH versus ESP 


Fonctions de sécurité

AH

ESP

IP Protocol No.

51

50

Data Integrity Check

supporté (authentification pour l'ensemble du paquet IP)

supporté (pas d'authentification d'en-tête IP)

Data Origin Authentication

supporté

supporté

Data Encryption

Non supporté

supporté

Packet Replay Attack Protection

supporté

supporté

IPSec NAT-T (NAT Traversal)

Non supporté

supporté


  • Algorithmes de chiffrement (DES, 3DES, AES): l'as de pique du paquet IPSec. Les paquets de données IPSec utilisent des algorithmes de chiffrement symétriques pour le chiffrement, mais seul le protocole ESP prend en charge le chiffrement; le protocole AH ne le fait pas. De plus, les paquets de négociation IKE effectuent également des cryptages.
  • Algorithmes d’authentification (MD5. SHA1. SHA2) - méthode d’identification positive par paquets IPSec. Les paquets cryptés généreront des signatures numériques via l'algorithme d'authentification; la signature numérique remplit le segment ICV de valeur de contrôle d'intégrité des en-têtes de paquet AH et ESP et l'envoie à l'homologue; dans le dispositif de réception, l'intégrité et l'origine des données sont authentifiées en comparant les signatures numériques.
  • IKE - puissant, intendant attentif. IPSec utilise le protocole IKE pour l'envoi et la réception de clés de négociation de sécurité entre périphériques et de clés mises à jour.
  • Algorithme DH - le boulier de l'intendant attentif. DH est connue sous le nom de méthode d'échange de clé publique. Il est utilisé pour générer des matériaux clés et effectuer des échanges via des messages ISAKMP. De plus, il enverra et recevra les clés de chiffrement et d’authentification des deux pairs.

Après avoir exposé tous ces concepts devant nous, le Dr WoW ne peut s’empêcher de s’émerveiller du génie des concepteurs de protocoles IPSec. Avec tous ces nouveaux et anciens protocoles et algorithmes assemblés de manière si transparente, toute la malice d'Internet peut être protégée à l'extérieur de nos tunnels! Le Dr WoW a mis au point un diagramme pour nous aider à retenir ces acronymes, comme le montre la figure 1-1.

Figure 1-1 Profil de protocole de sécurité IPSec 
 

213946o4ht8gkdotfdkfhd.png

Ceci étant, le Dr WoW est soulagé et peut se sourire avec fierté au succès du réseau Tiandihui. Mais nous ne sommes pas encore au bout de nos peines - une fois que les applications IKE sont utilisées pour les VPN IPSec, les problèmes de communication rencontrés par les sous-hôtes d'adresses IP publiques fixes de grande et moyenne taille sont rapidement résolus, mais les sous-hôtes qui ne peuvent pas obtenir sur les adresses IP publiques fixes ne sont pas si chanceux, ils crient qu'un tel favoritisme va à l’encontre de la vraie fraternité! Les sous-hôtes sans adresses IP publiques fixes ne peuvent pas établir de VPN IPSec stable avec des hôtes. C'est pour cette raison que Tiandihui a posé la question suivante: les deux extrémités doivent-elles utiliser des adresses IP publiques fixes pour établir un VPN IPSec?

Bien sûr que non! Ensuite, M. WoW nous apprendra tout sur une nouvelle façon d’établir des VPN IPSec - la méthode du modèle IPSec.

 

 

Pour afficher la liste de tous les postes techniques de Dr. WoW, cliquez ici.


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier