<<Tutoriel précédent Tutoriel suivant>>
Description
Cette partie vous expliquera les mécanismes utilisés par IPsec afin de supporter le NAT et le QOS.
IPsec et NAT
Un problème se pose en présence d’un routeur NAT. En effet, un NAT modifie les adresses IP (IP spoofing). Une SA IPsec ne peut passer à travers un NAT. En effet, avec AH, le NAT a accès aux informations nécessaire telles que le port source et le port de destination, mais il ne peut modifier ces informations à cause du test d’intégrité. Avec ESP, le numéro de port est chiffrer et le NAT ne dispose pas de la clé. Une solution utilisée en pratique est alors d’encapsuler les paquets IPsec dans des segments UDP.
IPSec mode Tunnel et QoS
En mode transport, avec AH, le champ ToS est considéré comme mutable car il peut être modifié à l’entrée d’un réseau. Donc celui-ci n’est pas pris en compte pour le calcul du MAC AH. Mais en mode tunnel, ce champ est encapsulé avec le paquet original dans un nouveau paquet IP. La solution pour continuer à tenir compte de la valeur de champ est alors de recopier la valeur du champ ToS dans le nouvel en-tête.
AH est-il nécessaire ?
ESP est absolument indispensable pour chiffrer les données. Dans ce cas, pourquoi AH est-il nécessaire ? En réalité, il ne l’est pas. En effet, la seul différence notable entre AH et ESP est qu’AH protège l’intégrité de l’en-tête IP. Mais est-ce bien nécessaire ? Si c’était vraiment indispensable, ESP peut protéger cet en-tête en mode tunnel étant donné que le paquet original est chiffré et encapsulé dans nouveau paquet. De plus, les routeurs intermédiaires ne peuvent pas vérifier l’authenticité et l’intégrité du paquet en utilisant AH étant donné que les routeurs intermédiaires ne connaissent pas la clé utilisée pour générer le MAC. Au final, seul le destinataire peut vérifier que le paquet n’a pas été altéré. Donc il n’est pas utile de protéger l’en-tête. ESP pourrait donc très bien complètement remplacer AH.
Tu as aimé ce tutoriel ?
Aide nous à améliorer le site !
Deviens partenaire officiel ou suis nous sur facebook !