Comme indiqué précédemment, le cadre du protocole IPsec décrit les messages de sécurisation des communications, mais il se base sur des algorithmes existants.
Il y a deux protocoles IPsec principaux, comme le montre la Figure 1 :
- En-tête d'authentification (AH) : AH est le protocole approprié à utiliser lorsque la confidentialité n'est pas requise ou autorisée. Il permet l'authentification et l'intégrité des données des paquets IP qui sont transmis entre deux systèmes. Toutefois, AH ne permet pas la confidentialité des données (chiffrement) des paquets. La totalité du texte est transmise en texte clair. Si le protocole AH est utilisé seul, sa protection est faible.
- Technologie ESP (Encapsulating Security Payload) : protocole de sécurité permettant la confidentialité et l'authentification grâce au chiffrement du paquet IP. Le chiffrement des paquets IP masque les données et l’identité de leur source et de leur destination. ESP authentifie le paquet IP interne et l’en-tête ESP. L’authentification permet d’identifier la source des données et de garantir leur intégrité. Bien que les fonctions de chiffrement et d’authentification soient facultatives dans ESP, vous devez en choisir au moins une.
La Figure 2 illustre les composants de la configuration IPsec. Le cadre IPsec comporte quatre éléments constitutifs de base qui doivent être sélectionnés.
- Cadre du protocole IPsec : lors de la configuration d'une passerelle IPsec en vue de fournir des services de sécurité, un protocole IPsec doit être sélectionné. Les choix possibles sont des combinaisons des technologies ESP et AH. De manière réaliste, les options ESP ou ESP+AH sont presque toujours sélectionnées, car la méthode AH elle-même ne permet pas le chiffrement, comme le montre la Figure 3.
- Confidentialité (en cas d'implémentation du protocole IPsec avec la technologie ESP) : l'algorithme de chiffrement sélectionné doit de préférence correspondre au niveau de sécurité souhaité : DES, 3DES ou AES. L'algorithme AES est fortement recommandé, avec AES-GCM pour une sécurité maximale.
- Intégrité : garantit que le contenu n'a pas été modifié lors du transit. Implémenté par le biais de l'utilisation d'algorithmes de hachage. Les choix possibles incluent les algorithmes MD5 et SHA.
- Authentification : représente la manière selon laquelle les périphériques sont authentifiés à chaque extrémité du tunnel VPN. Les deux méthodes sont PSK ou RSA.
- Groupe d'algorithmes DH : représente la manière selon laquelle une clé secrète partagée est établie entre des homologues. Diverses options sont possibles, mais l'algorithme DH24 est celui qui offre le plus de sécurité.
La combinaison de ces éléments constitutifs offre les options de confidentialité, d'intégrité et d'authentification des VPN IPsec.
Remarque : cette section a présenté le protocole IPsec afin de permettre la compréhension du mode de sécurisation des tunnels VPN par ce protocole. La configuration des VPN IPsec sort du cadre de ce cours.