dimanche 8 avril 2012

VPN : théorie


- Authentification des données (on est sur de discuter avec le bon interlocuteur)
- Confidentialité (un tiers ne doit pas pouvoir lire les informations)
- Intégrité des données (les données ne doivent pas pouvoir être falsifiées ou altérées)
- Anti-rejeu (les paquets ne penvent être rejoués)



ah et esp: esp permet en plus de l'authentification le chiffrement

Trame IPsec:
nv ip - en-tête esp - \partie chiffrée - en-tête IP - données - Queue ESP \fin partie chiffrée - ICv ESP

L'ensemble des réglages des paramètres de sécurité entre deux sites est appelé SA (security association)
Une SA est créée pour chaque direction de traffic ou flux de donnée.

L'ensemble des réglages des SA est stocké dans une base de donnée appelé SAD (security association database).

Il y a deux phases dans l'établissement du vpn.
La première peut être en mode main ou aggressive.
La deuxième est en "Quick mode".

Role de la SPD (security policy database): savoir si un paquet doit passer par le tunnel en étant protégé ou pas ou rejetté.
Les règles sont basées sur les IP ou sur le protocole utilisé.

Traitement d'un paquet:
Expéditeur:
Vérification de la politique à appliquer en consultant la SPD
Si le paquet doit être protégé, on recherche une SA dans la SAD. Si la SA n'existe pas, on en crée une via IKE.
On traite le paquet avec AH ou ESP.

Destinataire:
On reconnait un flux vpn donc on vérifie qu'une SA existe pour le paquet entrant. Si les SA ne corresponde pas, le paquet est détruit
Une SA est trouvé et le numéro de séquence du paquet est correct: le paquet est décodé et les données d'authentification sont calculés.
On vérifie avec la SPD que la SA était bien la bonne.
On envoit le paquet.

Bonus:
NAT-T: on encapsule le paquet dans un flux udp (port 4500) pour supprimer les problèmes de port.

Détection de la perte d'un VPN
IKE keep-alive : par l'envoi régulier de paquet hello
DPD (dead peer detection): si il n'y a pas eu d'échange de donnée récente, avant l'envoi, l'expéditeur envoi un paquet pour vérifier que le tunnel est bien actif.
-
Libellés :

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)

Comment ajouter une route statique sur une distribution Linux Ubuntu

Pour ajouter une route statique au démarrage d'Ubuntu, voici le fichier à modifier. Dans l'exemple on ajoute une route pour joindre ...