Galactic Civilizations 3
IPsec - NAT et QOS

IPsec - NAT et QOS

Catégorie: Sécurité.
Posté par le 02/10/2011.
Dernière mise à jour le 02/10/2011.

<<Tutoriel précédent    Tutoriel suivant>>

Description

Cette partie vous expliquera les mécanismes utilisés par IPsec afin de supporter le NAT et le QOS.

IPsec et NAT

Un problème se pose en présence d’un routeur NAT. En effet, un NAT modifie les adresses IP (IP spoofing). Une SA IPsec ne peut passer à travers un NAT. En effet, avec AH, le NAT a accès aux informations nécessaire telles que le port source et le port de destination, mais il ne peut modifier ces informations à cause du test d’intégrité. Avec ESP, le numéro de port est chiffrer et le NAT ne dispose pas de la clé. Une solution utilisée en pratique est alors d’encapsuler les paquets IPsec dans des segments UDP.

IPSec NAT

IPSec mode Tunnel et QoS

En mode transport, avec AH, le champ ToS est considéré comme mutable car il peut être modifié à l’entrée d’un réseau. Donc celui-ci n’est pas pris en compte pour le calcul du MAC AH. Mais en mode tunnel, ce champ est encapsulé avec le paquet original dans un nouveau paquet IP. La solution pour continuer à tenir compte de la valeur de champ est alors de recopier la valeur du champ ToS dans le nouvel en-tête.

IPsec QOS

AH est-il nécessaire ?

ESP est absolument indispensable pour chiffrer les données. Dans ce cas, pourquoi AH est-il nécessaire ? En réalité, il ne l’est pas. En effet, la seul différence notable entre AH et ESP est qu’AH protège l’intégrité de l’en-tête IP. Mais est-ce bien nécessaire ? Si c’était vraiment indispensable, ESP peut protéger cet en-tête en mode tunnel étant donné que le paquet original est chiffré et encapsulé dans nouveau paquet. De plus, les routeurs intermédiaires ne peuvent pas vérifier l’authenticité et l’intégrité du paquet en utilisant AH étant donné que les routeurs intermédiaires ne connaissent pas la clé utilisée pour générer le MAC. Au final, seul le destinataire peut vérifier que le paquet n’a pas été altéré. Donc il n’est pas utile de protéger l’en-tête. ESP pourrait donc très bien complètement remplacer AH.

Tu as aimé ce tutoriel ?
Aide nous à améliorer le site ! Deviens partenaire officiel ou suis nous sur facebook !

<<Tutoriel précédent    Tutoriel suivant>>

Commentaires[0]

Tu as aimé ce tutoriel ? Alors partage-le avec tes amis !
Partager sur Facebook Partager sur Twitter Partager sur Myspace Partager sur Stumbleupon Soumettre sur Reddit Partager sur Digg Ajouter à vos favoris Technorati Ajouter à vos favoris Live Ajouter à vos favoris Google Ajouter sur vos favoris Yahoo Voir le flux rss

Mots Clés: AH ESP IPsec NAT QOS Securite

Veve :
(11/04/2013 - 17:19:44)
il faut juste mettre "sudo" à la place de "su" pour exécuter la commande en root

Veve :
(11/04/2013 - 17:18:56)
Salut tu peux aller lire ce tutoriel: http://www.tutorielsenfolie.com/tutoriels-63-installation-configuration-opennebula.html Il fonctionne aussi sous ubuntu

safa.souissi4 :
(10/04/2013 - 20:58:13)
s'il vous plait c urgent :(

safa.souissi4 :
(10/04/2013 - 20:56:25)
bonsoir,je cherche un tutos pour installer opennebula.org sous ubuntu 12.

Veve :
(18/03/2013 - 20:07:49)
oui, j'essaye de voir d'ou viens le problème.

sonde :
(18/03/2013 - 13:29:57)
re merci (j apprend un peu plus) je crois que j ai trouver pourquoi je peu pas poster si il y a ligne code impossible de poster lol

Veve :
(17/03/2013 - 21:34:49)
Salut, j'espère que ça t'a aidé.

sonde :
(17/03/2013 - 09:59:02)
pour ton aide

sonde :
(17/03/2013 - 09:57:36)
slt Veve impossible de laisser com

sonde :
(17/03/2013 - 09:56:55)
??

Demi-dieu :
(15/03/2013 - 18:41:13)
salut ^^

sonde :
(13/03/2013 - 14:49:35)
un petit coucou

Tanamoureuse :
(29/09/2011 - 06:11:08)
Je t'aime

Faire un don

Ma Publicité ici


Faire un don