1 IKEv1 V.S. IKEv2
Comme nous avons déjà beaucoup écrit sur IKEv1 et IKEv2, c’est le bon moment pour nous de résumer les principales différences entre les deux, comme le montre le tableau 1-1.
Tableau 1-1 Comparaison de IKEv1 et IKEv2
|
Fonction |
IKEv1 |
IKEv2 |
|
IPSec SA Establishment Process |
Divisé en deux phases. La phase 1 est divisée en deux modes: mode principal et mode agressif; la phase 2 est en mode rapide.
Le mode principal + le mode rapide nécessite 9 messages pour établir IPSec SA. Le mode agressif + le mode rapide nécessite 6 messages pour établir IPSec SA. |
Non divisé en phases. IPSec SA peut être établie avec un minimum de 4 messages. |
|
IKE SA Integrity Authentication |
Non supporté |
supporté |
|
ISAKMP Payload |
Les charges utiles prises en charge diffèrent; Par exemple, IKEv2 prend en charge les charges utiles TS pour les négociations de listes de contrôle d'accès, mais pas IKEv1.
Les charges utiles prises en charge par IKEv1 et IKEv2 présentent également d'autres différences, mais pour l'instant, nous ne mentionnerons que les charges utiles TS. |
|
|
Authentication Method |
Clé Pré-Partagée
certificat numérique Enveloppe numérique (rarement utilisée) |
Clé Pré-Partagée
certificat numérique PAE Enveloppe numérique (rarement utilisée) |
|
Remote Access |
Via L2TP sur IPSec |
Via l'authentification EAP |
Clairement, IKEv2, avec ses services plus rapides et plus sécurisés, remporte la victoire. Comme dans le Yangtsé, les vagues à venir chevauchent celles qui les précèdent. Pas de surprises ici.
2. profils de protocole IPSec
Protocoles de sécurité (AH et ESP), algorithmes de chiffrement (DES, 3DES, AES), algorithmes d'authentification (MD5. SHA1. SHA2), IKE, DH… avez-vous capturé tout cela? Au cas où cela deviendrait un peu déroutant, le Dr WoW a préparé un résumé pour nous tous. Nous allons jeter un coup d'oeil:
l Protocole de sécurité (AH et ESP) - encapsulation de la sécurité des paquets IP.
Une fois qu'un paquet IP met son gilet AH ou / et ESP, il devient un paquet IPSec. Ce "gilet" n'est pas simplement votre gilet de tous les jours; il s'agit d'un "gilet pare-balles" cousu avec des algorithmes de "cryptage" et "d'authentification". Les différences entre les deux sont indiquées dans le tableau 1-2.
Tableau 1-2 AH versus ESP
|
Fonctions de sécurité |
AH |
ESP |
|
IP Protocol No. |
51 |
50 |
|
Data Integrity Check |
supporté (authentification pour l'ensemble du paquet IP) |
supporté (pas d'authentification d'en-tête IP) |
|
Data Origin Authentication |
supporté |
supporté |
|
Data Encryption |
Non supporté |
supporté |
|
Packet Replay Attack Protection |
supporté |
supporté |
|
IPSec NAT-T (NAT Traversal) |
Non supporté |
supporté |
- Algorithmes de chiffrement (DES, 3DES, AES): l'as de pique du paquet IPSec. Les paquets de données IPSec utilisent des algorithmes de chiffrement symétriques pour le chiffrement, mais seul le protocole ESP prend en charge le chiffrement; le protocole AH ne le fait pas. De plus, les paquets de négociation IKE effectuent également des cryptages.
- Algorithmes d’authentification (MD5. SHA1. SHA2) - méthode d’identification positive par paquets IPSec. Les paquets cryptés généreront des signatures numériques via l'algorithme d'authentification; la signature numérique remplit le segment ICV de valeur de contrôle d'intégrité des en-têtes de paquet AH et ESP et l'envoie à l'homologue; dans le dispositif de réception, l'intégrité et l'origine des données sont authentifiées en comparant les signatures numériques.
- IKE - puissant, intendant attentif. IPSec utilise le protocole IKE pour l'envoi et la réception de clés de négociation de sécurité entre périphériques et de clés mises à jour.
- Algorithme DH - le boulier de l'intendant attentif. DH est connue sous le nom de méthode d'échange de clé publique. Il est utilisé pour générer des matériaux clés et effectuer des échanges via des messages ISAKMP. De plus, il enverra et recevra les clés de chiffrement et d’authentification des deux pairs.
Après avoir exposé tous ces concepts devant nous, le Dr WoW ne peut s’empêcher de s’émerveiller du génie des concepteurs de protocoles IPSec. Avec tous ces nouveaux et anciens protocoles et algorithmes assemblés de manière si transparente, toute la malice d'Internet peut être protégée à l'extérieur de nos tunnels! Le Dr WoW a mis au point un diagramme pour nous aider à retenir ces acronymes, comme le montre la figure 1-1.
Figure 1-1 Profil de protocole de sécurité IPSec
Ceci étant, le Dr WoW est soulagé et peut se sourire avec fierté au succès du réseau Tiandihui. Mais nous ne sommes pas encore au bout de nos peines - une fois que les applications IKE sont utilisées pour les VPN IPSec, les problèmes de communication rencontrés par les sous-hôtes d'adresses IP publiques fixes de grande et moyenne taille sont rapidement résolus, mais les sous-hôtes qui ne peuvent pas obtenir sur les adresses IP publiques fixes ne sont pas si chanceux, ils crient qu'un tel favoritisme va à l’encontre de la vraie fraternité! Les sous-hôtes sans adresses IP publiques fixes ne peuvent pas établir de VPN IPSec stable avec des hôtes. C'est pour cette raison que Tiandihui a posé la question suivante: les deux extrémités doivent-elles utiliser des adresses IP publiques fixes pour établir un VPN IPSec?
Bien sûr que non! Ensuite, M. WoW nous apprendra tout sur une nouvelle façon d’établir des VPN IPSec - la méthode du modèle IPSec.
Pour afficher la liste de tous les postes techniques de Dr. WoW, cliquez ici.
