IPsec est un groupe de protocoles de réseau utilisés pour établir des connexions chiffrées sécurisées, comme les VPN, sur des réseaux partagés publiquement.
Cet article s'articule autour des points suivants :
Contenu associé
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
L'IPsec est un groupe de protocoles conçus pour sécuriser les connexions entre appareils. Il contribue également à sécuriser les données envoyées sur les réseaux publics. Il est souvent utilisé pour configurer les VPN. Son fonctionnement prévoit le chiffrement des paquets IP et l'authentification de la source de ces derniers.
Dans le terme "IPsec," " IP" signifie "Internet Protocol" et "sec" pour "secure." Le protocole Internet est le principal protocole de routage utilisé sur Internet ; il désigne la destination des données à l'aide des adresses IP. IPsec est sécurisé, car il ajoute le chiffrement* et l'authentification à ce processus.
*Le chiffrement est le processus de dissimulation d'informations en modifiant mathématiquement les données afin qu'elles apparaissent aléatoires. En termes plus simples, le chiffrement est l'utilisation d'un "code secret" que seules les parties autorisées peuvent interpréter.
Les protocoles de sécurité tels qu'IPsec sont nécessaires car les méthodes de mise en réseau ne sont pas chiffrées par défaut.
Lorsqu'une personne envoie du courrier par l'intermédiaire d'un service postal, elle n'écrit généralement pas son message à l'extérieur de l'enveloppe. Au lieu de cela, elle place son message dans une enveloppe fermée, de sorte que personne parmi ceux qui manipulent le courrier entre l'expéditeur et le destinataire ne puisse lire son message. Cependant, les suites de protocoles de mise en réseau telles que TCP/IP ne s'intéressent qu'à la connexion et à la livraison, et les messages envoyés ne sont pas dissimulés. Toute personne se trouvant au milieu peut les lire. IPsec et les autres protocoles qui chiffrent les données agissent comme si elles plaçaient concrètement une enveloppe autour des données lorsqu'elles traversent les réseaux, afin de les sécuriser.
Un réseau privé virtuel (RPV) est une connexion chiffrée entre deux ou plusieurs ordinateurs. Les connexions VPN se font sur des réseaux publics, mais les données échangées sur le VPN restent privées car elles sont chiffrées.
Les VPN permettent d'accéder et d'échanger en toute sécurité des données confidentielles sur une infrastructure de réseau partagée, comme l'Internet public. Par exemple, lorsque les employés travaillent à distance plutôt qu'au bureau, ils utilisent souvent les VPN pour accéder aux fichiers et aux applications de l'entreprise.
De nombreux VPN utilisent la suite de protocoles IPsec pour établir et exécuter ces connexions chiffrées. Cependant, tous les VPN n'utilisent pas IPsec. Un autre protocole pour les VPN est SSL/TLS, qui fonctionne sur une couche différente d'IPsec dans le modèle OSI . (Le modèle OSI est une représentation abstraite des processus qui font fonctionner l'Internet ).
Les utilisateurs peuvent accéder à un VPN IPsec en se connectant à une application VPN, ou au client "." Cela nécessite généralement que l'utilisateur ait installé l'application sur son appareil.
Les connexions à un VPN sont généralement basées sur un mot de passe. Bien que les données envoyées par un VPN soient chiffrées, si les mots de passe des utilisateurs sont compromis, les attaquants peuvent se connecter au VPN et voler ces données chiffrées. L'utilisation de l'authentification à deux facteurs (2FA) peut renforcer la sécurité des VPN IPsec, puisque le vol d'un mot de passe seul ne donnera plus accès à un attaquant.
Les connexions IPsec comprennent les étapes suivantes :
Échange de clés : Les clés sont nécessaires au chiffrement ; une clé est une chaîne de caractères aléatoires qui peut être utilisée pour "verrouiller" (crypter) et "déverrouiller" (décrypter) les messages. IPsec établit des clés avec un échange de clés entre les appareils connectés, afin que chaque appareil puisse décrypter les messages de l'autre.
En-têtes et remorques de paquets : Toutes les données envoyées sur un réseau sont décomposées en petits morceaux appelés paquets. Les paquets contiennent à la fois une charge utile, ou les données réelles envoyées, et des en-têtes, ou des informations sur ces données afin que les ordinateurs qui reçoivent les paquets sachent quoi en faire. L'IPsec ajoute aux paquets de données plusieurs en-têtes contenant des informations d'authentification et de chiffrement. IPsec ajoute également des trailers, qui sont placés après la charge utile de chaque paquet au lieu d'être placés avant.
Authentification : IPsec fournit une authentification pour chaque paquet, comme un cachet d'authenticité sur un objet de collection. Cela garantit que les paquets proviennent d'une source de confiance et non d'un attaquant.
chiffrement : IPsec crypte les charges utiles de chaque paquet et l'en-tête IP de chaque paquet (sauf si le mode transport est utilisé au lieu du mode tunnel - voir ci-dessous). Les données envoyées par IPsec restent ainsi sécurisées et privées.
Transmission : les paquets IPsec chiffrés traversent un ou plusieurs réseaux jusqu'à leur destination en utilisant un protocole de transport. À ce stade, le trafic IPsec diffère du trafic IP ordinaire en ce qu'il utilise le plus souvent UDP comme protocole de transport, plutôt que TCP. TCP, le protocole de contrôle de transmission, établit des connexions dédiées entre les périphériques et garantit l'arrivée de tous les paquets. Le protocole UDP, User Datagram Protocol, n'établit pas ces connexions dédiées. IPsec utilise UDP car cela permet aux paquets IPsec de traverser les pare-feu.
Déchiffrement : À l'autre bout de la communication, les paquets sont déchiffrés et les applications (par exemple, un navigateur) peuvent maintenant utiliser les données fournies.
Dans le domaine de la mise en réseau , un protocole est une manière spécifique de formater les données de sorte que tout ordinateur en réseau puisse les interpréter. IPsec n'est pas un protocole, mais une suite de protocoles. Les protocoles suivants constituent la suite IPsec :
En-tête d'authentification (AH) : Le protocole AH garantit que les paquets de données proviennent d'une source fiable et que les données n'ont pas été altérées, comme un sceau inviolable sur un produit de consommation. Ces en-têtes ne fournissent aucun chiffrement ; ils n'aident pas à dissimuler les données aux attaquants.
Encapsulating Security Protocol (ESP) : ESP chiffre l'en-tête IP et la charge utile de chaque paquet - sauf si le mode transport est utilisé, auquel cas il ne chiffre que la charge utile. ESP ajoute son propre en-tête et une bande de fin à chaque paquet de données.
Security Association (SA) : SA désigne un certain nombre de protocoles utilisés pour négocier des clés et des algorithmes de chiffrement. L'un des protocoles SA les plus courants est l'échange de clés Internet (IKE).
Enfin, si le protocole Internet (IP) ne fait pas partie de la suite IPsec, IPsec fonctionne directement au-dessus de l'IP.
Le mode tunnel IPsec est utilisé entre deux routeurs dédiés, chaque routeur agissant comme une extrémité d'un tunnel virtuel "" à travers un réseau public. En mode tunnel IPsec, l'en-tête IP original contenant la destination finale du paquet est chiffré, en plus de la charge utile du paquet. Pour indiquer aux routeurs intermédiaires où transmettre les paquets, IPsec ajoute un nouvel en-tête IP. À chaque extrémité du tunnel, les routeurs déchiffrent les en-têtes IP afin de livrer les paquets à leur destination.
En mode transport, la charge utile de chaque paquet est chiffrée, mais pas l'en-tête IP d'origine. Les routeurs intermédiaires sont donc en mesure de voir la destination finale de chaque paquet, à moins d'utiliser un protocole de tunneling distinct (tel que GRE).
Un port réseau est l'emplacement virtuel par lequel les données entrent dans un ordinateur. Les ports permettent aux ordinateurs un suivi des différents processus et connexions ; si des données sont envoyées vers un certain port, le système d'exploitation de l'ordinateur sait à quel processus elles appartiennent. IPsec utilise généralement le port 500.
MSS et MTU sont deux mesures de la taille des paquets. Les paquets ne peuvent atteindre une certaine taille (mesurée en octets) avant que les ordinateurs, les routeurs et les commutateurs ne puissent les traiter. MSS mesure la taille de la charge utile de chaque paquet, tandis que MTU mesure l'ensemble du paquet, y compris les en-têtes. Les paquets qui dépassent la MTU d'un réseau peuvent être fragmentés, c'est-à-dire divisés en paquets plus petits, puis réassemblés. Les paquets qui dépassent le MTU sont tout simplement abandonnés.
Les protocoles IPsec ajoutent plusieurs en-têtes et remorques aux paquets, qui occupent tous plusieurs octets. Pour les réseaux qui utilisent IPsec, le MSS et le MTU doivent être ajustés en conséquence, ou les paquets seront fragmentés et légèrement retardés. En général, la MTU d'un réseau est de 1 500 octets. Un en-tête IP normal fait 20 octets et un en-tête TCP fait également 20 octets, ce qui signifie que chaque paquet peut contenir 1 460 octets de données utiles. Cependant, l'IPsec ajoute un en-tête d'authentification, un en-tête ESP et les trailers associés. Ces éléments ajoutent 50 à 60 octets à un paquet, voire plus.
Pour en savoir plus sur le MTU et le MSS, consultez le site " . Qu'est-ce que le MTU ?"
Cloudflare prend en charge IPsec en tant que rampe d'accès à notre solution Secure Access Service Edge (SASE) , Cloudflare One.
Pour sécuriser le trafic, IPsec nécessite la mise en place d'une SA entre deux points, créant ainsi un tunnel dans lequel le trafic peut circuler. Selon le modèle de mise en œuvre, cela peut poser certains problèmes. Par exemple, dans un modèle maillé, tous les nœuds (ou emplacements) sont connectés les uns aux autres par des tunnels dédiés. Cependant, cela nécessite la création et la gestion de plusieurs tunnels IPsec, ce qui est difficile à faire évoluer.
Cloudflare, cependant, utilise le modèle Anycast IPsec. (Un réseau Anycast est un réseau qui achemine les demandes entrantes vers une variété de nœuds). Avec Anycast IPsec, les utilisateurs n'ont besoin de configurer qu'un seul tunnel IPsec vers Cloudflare pour obtenir une connectivité à plus de 250 sites dans notre réseau mondial.
Pour rendre Anycast IPsec possible, Cloudflare duplique et distribue les SA sur les serveurs du réseau périphérique de Cloudflare. Cela signifie que l'ensemble du réseau Cloudflare fonctionne comme un seul tunnel IPsec vers votre réseau.
En savoir plus sur Anycast IPsec et Cloudflare One.