IP, trop souvent présenté comme le protocole magique, ne sait pourtant pas tout faire. Si de plus en plus de réseaux fonctionnent avec IP, rien ne garantit, a priori, leur sécurité. En effet, IP n’a jamais été pensé pour assurer des communications sécurisées. Or, la plupart des sites lui confient leurs applications sensibles : intranet, accès distant, applications de commerce électronique… Un paradoxe dont il faut tenir compte dans la mise en place d’une politique de sécurité. Des solutions sont apparues, du coupe-feu au routeur filtrant, mais le problème n’a été que déplacé, sans être réglé au c?”ur de la pile de protocole TCP-IP, précisément au niveau IP. Il a donc fallu se pencher sur une nouvelle définition d’Internet Protocol, qui soit réellement sûre.
Des services de sécurité pour protéger les échanges sous IP
Face aux récentes prises de conscience des décideurs dans ce domaine, l’IAB (Internet Architecture Board) a décidé d’intégrer des services de sécurité au sein de ce protocole, dans le but de protéger les échanges sous IP. Malgré les tentatives pour imposer IP v.6, IP v.4 reste de loin la version du protocole la plus utilisée,. Dans ce vide technologique, et dans l’attente d’une migration totale des réseaux en IP v.6, il était impératif de définir des mécanismes capables de sécuriser IP v.4 en tenant compte de l’interopérabilité avec IP v.6. Il est courant de rassembler ces procédures intermédiaires sous le nom générique d’IPSec (Internet protocol security). Intégré à IP v.6, mais encore optionnel sur IP v.4, IPSec renferme des protocoles capables de garantir les fonctions de sécurité liées à l’authentification des utilisateurs et des machines, à l’intégrité et à la confidentialité des données.
A la fois une norme et un groupe de travail
IPSec est également le nom d’un groupe de travail créé au sein de l’IETF en 1992. Il établit des RFC (Requests for comment), éléments de réflexion destinés aux fournisseurs du marché, afin d’établir un socle commun à la future norme. A la fin de l’année 1999, après la publication de plusieurs RFC, en 1992, puis en 1998, IPSec s’impose progressivement auprès des acteurs du marché dans le sillage d’IP v.4 et d’IP v.6. Mais le succès d’IPSec provoque certains abus car le fait de gérer une norme n’implique pas que les équipements IPSec y soient totalement conformes et, finalement, compatibles entre eux ! On touche là au domaine de l’interprétation des recommandations des RFC, qui, propres à chaque éditeur et constructeur, sont nommées profils. Lorsque deux profils réagissent à des paramétrages trop différents, ils deviennent incompatibles, malgré leur référence commune à une seule norme. IPSec n’échappe pas à cette règle. Deux conseils de base s’imposent donc : s’assurer d’une parfaite interopérabilité des équipements en prenant toujours en compte l’importance cruciale des tests en ce domaine, et investir dans des équipements mettant en ?”uvre IPSec ! “Les mécanismes de sécurité d’IPSec évoluent au niveau IP sur le modèle d’architecture TCP-IP. Cet emplacement offre l’avantage de rendre ce protocole exploitable par les niveaux supérieurs, et de disposer, dès lors, d’une solution de protection unique pour toutes les applications “, souligne Ghislaine Labouret dans son étude sur IPSec, réalisée récemment pour le cabinet HSC. Effectivement, la pile de protocoles propres à IPSec autorise une mise en ?”uvre sur tous les équipements IP d’un réseau et assure une protection selon deux modes.
Un apport très riche en matière de services de sécurité
Le premier mode permet de sécuriser de bout en bout les échanges entre deux utilisateurs. Le second met en ?”uvre une sécurité lien par lien sur des segments de réseau. Cette double approche caractérise IPSec et l’autorise à intervenir dans la protection des applications du réseau, dans l’accès à celui-ci, dans la mise en place de réseaux privés virtuels (VPN), voire dans les procédures de sécurité des accès distants. Exploitable dans les couches hautes de TCP-IP, ouvert à tous les équipements, pouvant intervenir dans différentes configurations, IPSec offre aussi une richesse au niveau des services de sécurité. Véritable chien de garde d’IP, en fonction des paramètres alloués et des options retenues, IPSec prévient les attaques liées à l’authentification (comme une personne qui chercherait à se faire passer pour une autre), à l’intégrité (telles des données qui auraient été modifiées durant leur transfert), et à la confidentialité (par exemple, des informations en circulation sur le réseau qui seraient déchiffrées par une autre personne que le ou les destinataires). Ajoutons à cette palette des ” sous-services ” dépendant des services déjà cités. Ainsi, IPSec garantit que chaque trame IP reçue correspond réellement à celle qui a été expédiée. Cette fine capillarité au niveau de la trame permet d’effectuer un contrôle d’accès durant toute la durée de la communication et de protéger l’accès aux données. Ce détail est particulièrement important en matière de sécurité. En effet, le marché propose de nombreuses solutions de contrôle d’accès relativement simples, ne s’effectuant qu’au niveau de l’ouverture de la session, lors de la procédure de connexion. Cela n’empêche nullement un pirate de récupérer des données lors de la communication. IPSec est une plate-forme mécanique, qu’il faut optimiser avec les meilleurs éléments. La qualité et le niveau des services sont en partie liés aux choix effectués, surtout pour les mécanismes de chiffrement. IPSec est donc écartelé entre IP v.4 et IP v.6, et suppose que les équipements non IP v.6 soient compatibles. Parmi ces équipements, deux familles se distinguent : les passerelles de sécurité et les équipements terminaux ou hôtes finaux. Une passerelle de sécurité se place entre les périmètres de deux réseaux ou entre deux sous-réseaux. C’est le rôle dévolu aux routeurs, coupe-feu et autres équipements multifonctions pour gérer les réseaux privés virtuels. Utilisé notamment sur les routeurs et coupe-feu pour créer des VPN, IPSec intéresse également les éditeurs de systèmes d’exploitation. Ainsi, si le futur Windows 2000 intègre les mécanismes IPSec, n’importe quel poste client sous Windows 2000 devient une passerelle dotée de mécanismes de sécurité très puissants. On retrouve dans cette catégorie les serveurs applicatifs ou de données, et les postes utilisateurs. Bon nombre de noyaux OS disposent d’IPSec. C’est le cas, en natif, d’OpenBSD, et, en ajout sur Windows 98, FreeBSD ou Linux…
Malgré la norme, des niveaux de fonctionnalités distincts
Les services proposés par IPSec (authentification, contrôle d’accès, confidentialité…) reposent sur des modules, AH et ESP, dépendants du monde IP, et sur un protocole IKE. AH garantit l’authenticité des trames IP en y ajoutant un champ destiné à vérifier l’authenticité des données renfermées dans le datagramme. ESP assure la confidentialité et l’authenticité des informations en générant une nouvelle trame à partir de la trame d’origine des données chiffrées. Ces deux modules s’exploitent séparément ou conjointement, et se basent sur l’emploi d’une large panoplie d’algorithmes cryptographiques. Les solutions IPSec disponibles sur le marché comportent donc, en fonction de leur richesse, un choix d’algorithmes utilisables selon les options retenues lors de la définition de la politique de sécurité de l’entreprise. Un protocole IKE prend alors en charge la gestion de l’algorithme retenu pour négocier les échanges entre les machines IPSec. Parmi les algorithmes les plus répandus sur les piles IPSec, on trouve Cast-128 (avec des clés de 40 à 128 bits), Blowfish (de 40 à 448 bits), RC5 (de 40 à 2 040 bits), le fameux DES à 56 bits, et le triple DES, officiellement doté d’une clé à 168 bits mais d’une force réelle de 112 bits. Certains de ces algorithmes de chiffrement sont obligatoirement fournis dans les solutions IPSec, pour rendre interopérables, sur une base minimale commune, les différentes solutions du marché. Il en est ainsi des procédures d’authentification, tels HMAC-MD5 et HMAC-SHA-1. Au moyen d’IPSec, deux modes de sécurisation des données cohabitent. Le mode transport protège le contenu d’une trame IP en ignorant l’en-tête, et n’est utilisé que sur les équipements terminaux. Plus performant, le mode tunnel crée des tunnels en encapsulant chaque trame dans une enveloppe qui protège tous les champs de la trame (informations privées, en-têtes, adresses…). Mais la gestion des clés est le point crucial et le maillon faible d’IPSec. Selon Hervé Shauer, “IKE est le système de gestion des clés qui s’applique notamment à IPSec. Pour gérer de grands réseaux de tunnels, il faut un mécanisme automatique d’échange de clés, et l’enjeu devient l’infrastructure de clé. Il est possible que la popularité des PKI profite à IPSec et réciproquement. Mais il n’est pas réaliste de gérer des dizaines de tunnels ou des tunnels entre plusieurs sociétés sans une infrastructure de gestion de clés”. La définition, le suivi et le respect des règles constituent la garantie d’une bonne politique de sécurité. Le déploiement d’IPSec nécessite, bien sûr, une réflexion sur l’identification des besoins.
Les règles à faire appliquer par chaque équipement
Que doit-on sécuriser : les projets, les applications, les accès ? Quel type de solution doit-on retenir ? Avec quel niveau de capillarité et de finesse : choix des algorithmes, authentification des données, des utilisateurs ? Quelle gestion des clés publiques faut-il appliquer ? Une fois ces questions résolues, l’installation d’IPSec pourra s’effectuer sur les équipements sélectionnés. Selon Ghislaine Labouret, c’est lors de cette seconde phase qu’il faut calculer les règles à faire appliquer par chaque équipement. La mise en ?”uvre d’une infrastructure à clé publique, nécessaire aux ” équipements IPSec “, est également à prendre en compte à cette étape du déploiement. L’installation d’IPSec dépend de son niveau d’intégration. Intégrée à un produit, l’installation reste d’un niveau élémentaire, s’effectuant avec une simple mise à jour. En revanche, sur un système d’exploitation, l’absence d’ergonomie des interfaces et surtout les procédures de configuration, très variables selon les éditeurs, compliquent la tâche. Or, deux équipements chargés de communiquer entre eux doivent bénéficier d’une même configuration avec des paramètres rigoureusement similaires.
Les limites d’IPSec en termes d’administration
Cet examen de détail concernant l’installation et la configuration révèle les limites d’IPSec en termes d’administration. On comprend mieux le rôle crucial que peuvent jouer des plates-formes d’administration dévolues à la mise en place d’IPSec, afin d’offrir des solutions de configuration homogènes. Certains constructeurs, tels Bull et IBM, proposent de larges panoplies d’outils (AccessMaster et SecureWay) dédiés à la problématique de la gestion de la politique de sécurité. Pour Steve Hope, consultant et spécialiste d’IPSec chez Newbridge (acquéreur de TimeStep, éditeur de solutions IPSec, en août 1999), si le succès d’IPSec est désormais assuré, il reste deux freins. D’abord, la gestion homogène des configurations des équipements pose encore des problèmes.“Tant que les règles ne seront pas normalisées, ce qui devrait se faire en 2000, il faut des attributs propriétaires sur les certificats PKI.”Ensuite, il y a la gestion des PKI au niveau des données livrées par les acteurs du marché de la certification (Entrust, Baltimore, VeriSign…). “Malgré un embryon de normalisation, nous évoluons encore dans des environnements propriétaires qui atténuent la richesse fonctionnelle d’IPSec “, ajoute-t-il. Ce blocage a été l’un des thèmes majeurs de la première édition d’IPSec 99, qui s’est tenue du 26 octobre au 29 octobre, à Paris. Même analyse chez Apogée Communications, où Olivier Caleff, directeur technique, redoute que le ” cocktail technique ” résultant de la double implémentation IPSec sur IP v.4 et IP v.6 ne génère une confusion inutile et ne retarde le déploiement d’IPSec. Pour Hervé Schauer, nombre de constructeurs participent activement à ces comités IETF :“L’ensemble des acteurs du marché est présent. Des start-up comme Redcreek, SSH Communications ou TimeStep coopèrent étroitement, de même que Cisco ou Nortel. Les fabricants de systèmes d’exploitation, tels Microsoft ou Sun, sont également très assidus.”
Une vision plus proche des besoin
D’après lui, l’essentiel des travaux a été fait avec la publication de la norme IPSec de 1998. “Les RFC ont été publiés au mois de novembre 1998, avec la gestion des clés. Désormais, je pense qu’il n’y aura que des clarifications sur ces RFC. Le travail de normalisation se porte désormais sur d’autres aspects d’IPSec qui n’étaient pas complètement pris en compte dans la norme initiale. C’est le cas de la gestion des règles. Il s’agit d’une vision plus proche des besoins, qui ne gère pas les périphériques un par un, comme la gestion de réseau, mais qui gère le réseau dans son intégralité.” IPSec sera-t-il le sésame de la sécurité des réseaux IP dans les années 2000 ? La fin d’IP v.4 et l’arrivée de Windows 2000 incitent de plus en plus d’experts à l’imaginer.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.