Le tunnelling IP, également appelé VPN (Virtual Private Network) est une technique permettant à deux entités (machines et/ou réseaux) de communiquer entre elles de manière sûre via un réseau public considéré comme non protégé.
La fonction VPN permet une extension du domaine. ..
de confiance de son réseau ; elle est par ailleurs souvent utilisée en entreprise pour l’interconnexion de deux agences, ou pour permettre à des clients nomades de continuer à travailler à distance sur le système d’information de son entreprise.
Les mécanismes VPN utilisent généralement un chiffrement de bout en bout pour offrir des canaux de communications sécurisés. Il est également possible de mettre en oeuvre une protection contre les attaques en intégrité, en utilisant des algorithmes cryptographiques.
Les solutions de VPN actuelles offrent une certaine souplesse dans leur utilisation. Il est possible de chiffrer tout ou partie du trafic, et en fonction de certains paramètres (source, destination,service utilisé…).
Le tunnelling peut également intervenir sur différentes couches protocolaires :
· Niveau 2 : PPTP, L2TP (généralement dans le cas de clients nomades se connectant à un serveur d’accès distant par modem)
· Niveau 3 : IPV6, IPSEC (pour du pur chiffrement IP sur une infrastructure de communication existante)
Il existe pour l’essentiel deux méthodes de tunnelling :
Chiffrement des champs de data TCP / UDP:
Le champ de data du paquet IP est chiffré (éventuellement signé) en sortie de réseau interne, puis le paquet est transmis pour être déchiffré lorsqu’il arrive sur le réseau de destination. Cette technique est la plus simple à mettre en oeuvre, mais elle ne permet pas de se prémunir efficacement contre un rejeu des paquets, et, les en-têtes IP restant en clair, un attaquant peut alors identifier les machines en communication (mais pas les services utilisés). Cette technique peut parfois ouvrir la voie à des attaques dites « à clair connu ».
Encapsulation IP sur IP :
Le principe de cette technologie consiste à chiffrer / signer l’intégralité du paquet en sortie de réseau, puis à intégrer ce paquet chiffré dans un paquet IP dont la source est le boîtier de chiffrement source et la destination, le boîtier de chiffrement du réseau de destination.
A réception du paquet, le boîtier de chiffrement du réseau de destination déchiffre le contenu du paquet, vérifie sa cohérence et ré-émet le paquet à la machine de destination. Un pirate interceptant les communications ne verrait alors passer qu’un seul flux réseau, entre les deux boîtiers de chiffrement, ce qui permet donc de réaliser un masquage de sa topologie de réseau interne. Il s’agit bien évidemment de la technique la plus sécuritaire, et est utilisée par exemple par les protocoles IPSEC.
La fonction VPN permet une extension du domaine. ..
de confiance de son réseau ; elle est par ailleurs souvent utilisée en entreprise pour l’interconnexion de deux agences, ou pour permettre à des clients nomades de continuer à travailler à distance sur le système d’information de son entreprise.
..
Les mécanismes VPN utilisent généralement un chiffrement de bout en bout pour offrir des canaux de communications sécurisés. Il est également possible de mettre en oeuvre une protection contre les attaques en intégrité, en utilisant des algorithmes cryptographiques.
Les solutions de VPN actuelles offrent une certaine souplesse dans leur utilisation. Il est possible de chiffrer tout ou partie du trafic, et en fonction de certains paramètres (source, destination,service utilisé…).
Le tunnelling peut également intervenir sur différentes couches protocolaires :
· Niveau 2 : PPTP, L2TP (généralement dans le cas de clients nomades se connectant à un serveur d’accès distant par modem)
· Niveau 3 : IPV6, IPSEC (pour du pur chiffrement IP sur une infrastructure de communication existante)
Il existe pour l’essentiel deux méthodes de tunnelling :
Chiffrement des champs de data TCP / UDP:
Le champ de data du paquet IP est chiffré (éventuellement signé) en sortie de réseau interne, puis le paquet est transmis pour être déchiffré lorsqu’il arrive sur le réseau de destination. Cette technique est la plus simple à mettre en oeuvre, mais elle ne permet pas de se prémunir efficacement contre un rejeu des paquets, et, les en-têtes IP restant en clair, un attaquant peut alors identifier les machines en communication (mais pas les services utilisés). Cette technique peut parfois ouvrir la voie à des attaques dites « à clair connu ».
Encapsulation IP sur IP :
Le principe de cette technologie consiste à chiffrer / signer l’intégralité du paquet en sortie de réseau, puis à intégrer ce paquet chiffré dans un paquet IP dont la source est le boîtier de chiffrement source et la destination, le boîtier de chiffrement du réseau de destination.
A réception du paquet, le boîtier de chiffrement du réseau de destination déchiffre le contenu du paquet, vérifie sa cohérence et ré-émet le paquet à la machine de destination. Un pirate interceptant les communications ne verrait alors passer qu’un seul flux réseau, entre les deux boîtiers de chiffrement, ce qui permet donc de réaliser un masquage de sa topologie de réseau interne. Il s’agit bien évidemment de la technique la plus sécuritaire, et est utilisée par exemple par les protocoles IPSEC.
0 com:
Enregistrer un commentaire
Suggérer des améliorations à apporter au blog, des articles, des commentaires ou des liens sur la sécurité informatique.Merci