6. sécu VPN IPsec Flashcards
(9 cards)
6.6.1 Quels éléments de sécurité un VPN IPsec apporte-t-il ?
6.6.1 Quels éléments de sécurité un VPN IPsec apporte-t-il ?
Chiffrement : le protocole ESP chiffre le contenu des paquets pour garantir la confidentialité.
Intégrité : chaque paquet inclut un HMAC (par exemple HMAC-SHA-256) pour détecter toute modification en transit.
Authentification mutuelle : les deux extrémités s’authentifient (via certificats ou PSK) avant d’établir le tunnel.
Protection anti-replay : les paquets portent un numéro de séquence, empêchant la réinjection de paquets précédemment capturés.
6.6.2 Pourquoi l’utilisation du protocole IPsec ESP n’est pas compatible avec l’utilisation de traduction de port ?
6.6.2 Pourquoi l’utilisation du protocole IPsec ESP n’est pas compatible avec l’utilisation de traduction de port ?
ESP chiffre les en-têtes de transport (dont les numéros de port). Si un équipement NAT modifie le port (ou l’adresse IP) après chiffrement, le HMAC n’est plus valide et le paquet est rejeté.
6.6.3 Expliquez la notion de NAT-T (NAT-Traversal).
6.6.3 Expliquez la notion de NAT-T (NAT-Traversal).
Lorsqu’un NAT se trouve entre deux peers IPsec, NAT-T encapsule chaque paquet ESP dans un datagramme UDP (port 4500), permettant au NAT de modifier seulement l’en-tête UDP, sans casser l’intégrité ESP. Le peer désempaquète ensuite pour traiter l’ESP original.
6.6.4 Expliquez la fonction de l’algorithme Diffie-Hellman.
6.6.4 Expliquez la fonction de l’algorithme Diffie-Hellman.
Deux entités peuvent, sans canal sécurisé, échanger des valeurs publiques et calculer chacune de leur côté un secret partagé identique, sans jamais transmettre directement la clé.( ex: couleur)
6.6.5 Expliquez la notion de groupe Diffie-Hellman.
6.6.5 Expliquez la notion de groupe Diffie-Hellman.
Un groupe DH se définit par un nombre premier p et une base g modulo p, et la taille en bits de p fixe le niveau de sécurité : plus p est grand, plus le secret gᵃᵇ mod p est difficile à casser.
6.6.6 Expliquez la fonction du protocole IKE.
6.6.6 Expliquez la fonction du protocole IKE.
– Protocole de gestion de clés
* Ensemble de protocoles chargé de négocier automatiquement la
connexion pour qu’une transmission IPsec soit possible.
6.6.7 Quel est le rôle de chacune des phases IKE? Quel N° de port est utilisé par IKE ?
6.6.7 Quel est le rôle de chacune des phases IKE? Quel N° de port est utilisé par IKE ?
Phase 1 (IKE SA) : établir un tunnel sécurisé (SA IKE) entre les peers via échange de paramètres, Diffie-Hellman et authentification.
Phase 2 (IPsec SA) : négocier et installer les SA IPsec (choix d’ESP/AH, clés dérivées du secret Phase 1).
Port IKE : UDP 500 ; si NAT-T est détecté, UDP 4500 est ensuite utilisé pour les paquets encapsulés.
6.6.8 Expliquez ce qu’est une SA (Security Association).
6.6.8 Expliquez ce qu’est une SA (Security Association).
Une SA définit un ensemble de paramètres et de clés partagés pour sécuriser unilatéralement un flux IPsec. Chaque SA inclut :
Protocole (ESP ou AH)
Algorithme de chiffrement (ex. AES-256)
Algorithme d’intégrité (ex. HMAC-SHA-256)
Clés dérivées
SPI (Security Parameter Index)
Durée de vie (lifetime)
On installe généralement deux SA (une par sens de trafic).
6.6.9 Expliquez la notion de Perfect Forward Secrecy.
6.6.9 Expliquez la notion de Perfect Forward Secrecy.
PFS oblige, à chaque négociation de SA IPsec (Phase 2), à exécuter un nouveau échange Diffie-Hellman (avec des paramètres éphémères). Ainsi, même si la clé privée du peer est compromise ultérieurement, les clés de sessions antérieures ne peuvent pas être retrouvées, car chaque session a utilisé un secret Diffie-Hellman unique.
