IPSec (IP SECurity) est le protocole de sécurité qui sera inclus dans le protocole IPv6. De nombreux articles présents sur le site en parle. Voyons maintenant ce qu'est exactement IPSec.
Techniquement, IPSec est un protocole de la couche 3 du modèle OSI (comme IP). Il fut originellement crée pour IPv6, mais est déjà présent actuellement, dans certaines 'version' d'IPv4. Son but est simple fournir différents services de sécurité au protocole IP. Son utilisation principale reside dans le tunelling, c'est a dire l'encapsulation d'IP qui lui permet de creer des reseaux virtuels privées (VPN). Voyons maintenant différents services qu'offre IPSec : - authenfication des extremites : authentification mutuelle qui permet de verifier lídentite de son interlocuteur. - confidentialite des données : IPSec permet de chiffrer les donnees echanges - authenticite des données : permet de verifier l'émission et la réception des paquets envoyés - intégrité des données échangées : permet de vérifier qu'aucun paquet n'a été altéré - protection des écoutes et analyses de trafic : chiffrement des adresses IP de l'émetteur et du destinataire. Cela permet de creer des VPN, c'est le mode de tunneling - protection contre le rejeu : permet de se prémunir contre les attaques consistant à capturer des paquets dans le but de les renvoyer à nouveau
Voyons brievement les sous protocoles IKE et AH.
IKE (Internet Key Exchange) est le protocole d'initialisation de IPSec. Il permet dans un premier temps de creer un tunnel entre 2 utilisateurs, puis dans un second temps de creer autant de tunnels que necessaire afin de procéder aux échanges de données.
AH (Authentication Header) est un protocole qui fournit les services suivant : - Intégrité en mode non connecté. - Authentification des données - Anti-rejeux. Il permet de se prémunir contre les attaques du genre: - spoofing et autre attaque visant a modifier les adresses IP - rejeux - DoS (Deny Of Service) quand ils sont basés sur la charge impliquée par les calculs cryptographiques.
Conclusion
IPSec est un assemblage de plusieurs protocoles et est en constante évolution grâce à la grande population techinique et scientifique.
Une communication multicast consiste a envoyer des paquets depuis une source unique vers plusieurs destinations, et ce quelque soit leur localisation. Contrairement aux communications point par point, dites unicast, le multicast permet donc de ne pas envoyer plusieurs fois le meme paquet lorsque seul la destination change, afin de reduire l'utilisation de la bande passante du reseau. Cette technique est tres utile pour certains types d'applications, comme les programmes de streaming, la distribution de logiciel, etc...
Il existe deux modeles de communication multicast :
- ASM (Any Source Multicast) : Un recepteur s'abonne a un groupe, et recoit des donnees issues de n'import quelles sources de ce groupe.
- SSM (Source Specific Multicast) : Les sources sont predefinis, et le recepteur s'abonne a un groupe et a un ensemble de sources.
Pour ce qui est du multicast en ipv6, les etapes suivantes sont necessaire a l'etablissement d'une session :
- Choix de l'adresse pour la session : Le type de cette adresse est decrit par la RFC 3513. Chaque membre du groupe recoit donc cette adresse, et celle ci a une porte limitee afin de reduire le trafic des donnees.
- Description de la session a tous les membres du groupe : Le protocole MLD (Multicast Listener Discovery) intervient pour cette etape. Celui ci est utilise par un routeur afin de decouvrir la presence de recepteurs. Le protocole PIM (Protocol Indenpendant Multicast) intervient ensuite pour la creation de l'arbre multicast. Celui ci represente le chemin que vont suivre les donnees a travers le reseau.
Le multicast n'est pas une inovation apporte par ipv6, mais il a du etre redefinit en fonction des nouveaux protocols et des formats des paquets ipv6.
L'IPv6 n'est naturellement pas interopérable avec l'IPv4 ce qui signifie qu'il faudra que les équipementier s'adapte au nouveau protocole. Cependant le changement ne se fera pas avec un basculement brutale. Il y aura donc une transition qui pourrait durer plus de dix ans. Durant cette transition douce et progressive les deux standards seront amenés à cohabiter et à interopérer. Les scenarii de transition sont multiples et les outils qui les appuieront ont été largement envisagés, ainsi que leurs usages dans les différentes phases de la transition.
Les facteurs moteurs de transition v4/v6 reposent essentiellement sur des variables d’usage. Certes, les facteurs techniques IPv6 sont très importants mais il ne faut pas les surestimer sinon on ne parvient pas à déterminer une véritable dynamique pour IPv6.
Trois scénarios de transition vers IPv6 se profilent à horizon 2010 avec une probabilité plus élevée pour le scénario de transition modérée.
Le scénario rapide a la plus faible probabilité. Elle nécessite une forte demande pour les services mobiles et les services sur réseaux fixes. Ce scénario est peu probable car il nécessite des investissements massifs de la part des équipementiers ce qui n'est pas compatible avec les difficultés financières du secteur. Si tel était le cas seul les acteurs les plus importants seront capables d'y répondre.
Le scénario de multimédia mobile a un probabilité moyenne. Il tire profit d'une forte demande de la part des opérateurs mobiles en équipement v6 parallèlement à un décollement des services de données sur réseaux 2.5G et 3G. Le réseau fixe reste principalement en IPv4 car les principaux acteurs en proie a des difficultés financières estiment que l'IPv4 comporte encore des stocks d'adresse suffisant. On constate cependant que les services 2.5G et 3G décollement bien lentement que prévu en Europe ou Asie. Dans un tel contexte, ce sont les acteurs de la filière mobile qui subissent des conséquences importantes grâce a la création d'une nouvelle dynamique. A terme il se pourrait que les services mobiles s'étendent sur les réseaux fixes créant de nouvelles opportunités.
Le scénario à transition modéré est le scénario a la probabilité la plus élevée. Ce scénario se base sur un décollage des opérateurs mobiles puis des opérateurs fixes avec une convergence des deux réseaux a horizon de 2006. Enfin les équipementiers auront étendu les doubles pile v4/v6 sur l'ensemble de leur gamme et non plus seulement sur le haut de gamme. La pénurie n'étant pas attendu avant 2008 cela laisse le temps aux différents acteurs de s'adapter. Ce scénario serait le plus favorable car il signifierait une transition douce sans la pression de la pénurie et le développement de nouveaux services. Cependant ce scénario ne favorise pas les pionnier dans le domaine de l'IPv6.
Le probleme de securite est un probleme dans les applications actuelles surtout lorsque celles-ci impliquent le reseau et Internet. Nous avons vu que dans les articles precedents qu'IPv4 n'integre aucune securite dans son protocole. Cependant nous avons vu que celle-ci peut etre securise a travers des moyens non standardise ce qui implique uen difficulte de realisation et de mise en place.
Heureusement, IPv6 nous est livre avec IPsec (IP SECurity). Cependant certains problemes restent.
L'autoconfiguration sans etat permet a un utilisateur de pouvoir beneficier d'une connexion en IPv6 sans avoir quelquechose a configurer, ce qui est contradictoire avec la notion de securite. Les mecanismes de securite dans les protocoles de decouvertes (ex : Neighbor discovery) ne fournnissent aucune securite. DAD (Duplicate Adress Detection) utilise les protocoles decouvertes, ce qui nous revoit au probleme ci dessus. IPv6 pour les mobiles (ordianteur et telephones) apportent eux aussi leur lot de problemes.
Cependant, certaines pratiques ont ete mise en place pour augmenter la securite comme : - 802.X on L2 - L'utilisation de l'ACL etendu pour les headers
Conclusion :
IPSec n est pas la solution pour tous les problemes de securite. Un nouveau protocle amene avec lui des nouveaux problemes. La mobilite amene elle aussi son lot de problemes.
