Nouvelles Technologies IP 2me Partie : IPv4 IPv6 IPsec

Sommaire

IPv4 IPv6 IPsec Exercices

IPv4

IPv4
Internet Protocol version 4 ( IPv4 ) est la quatrime rvision dans le dveloppement de linternet protocol ( IP ) et la 1re version du protocole tre largement dploye . En collaboration avec IPv6 , il est au cur des mthodes dinterconnexion de rseaux bass sur les standards de linternet . Jusqu nos jours IPv4 est encore la plus largement dploy dans les protocoles couche internet .

IPv4
IPv4 est un protocole utilis dans la commutation par paquets de la couche liaison ( Exple : Ethernet ) IPv4 utilise 32 bits soit quatre octets ce qui limite lespace dadressage de 4 294 967 296 adresses. Cette limitation de lIPv4 a stimul le dveloppement de lIPv6 dans les annes 1990 .

IPv4
Nombre d'hotes rpertori dans le DNS 500 450 400 350 300 250 200 150 100 50 0 1992

extrapolation

millions

1994

1996

1998

2000

2002

2004

2006

2008

IPv4
Allocation: A Lorigine une adresse IP a t divise en deux parties une partie identifiant le rseau auquel est connect lordinateur : @ Rseau et une partie identifiant de lhte: @ IP = ( @ Rseau , @ Hte) Cela a permis la cration dun maximum de 256 rseaux . Il a rapidement t juge insuffisant.

IPv4
Pour surmonter cette limite , loctet de poids fort de ladresse a t redfini afin de crer un ensemble de classes de rseaux : Rseau bas sur les classes . Le systme dfinit cinq classes ( A,B,C,D & E ) . Les Classes A , B & C ont des longueurs diffrentes de bits pour lidentification du nouveau rseau , le reste de l@ pour identifier un hte dans un rseau. La classe D @ Multidestinataires ( Multicast ) La classe E Rserve pour des futures applications

Adressage IP : Classes d'adresses

0 8 16 24 31

Classe A Classe B

0 Rseau-id 10

Station-id Station-id

Rseau-id

Classe C 1 1 0 Classe D 1 1 1 0 Classe E

11110

Rseau-id
Multicast Rserv

Station-id

Ipv4
Les rseaux privs:

Sur les quatre milliards dadresses IPv4 autorises , certains sont rserves pour une utilisation dans les rseaux privs. Dans ces plages ,les adresses ne sont pas routables en dehors des rseaux privs et les machines prives ne peuvent pas communiquer directement avec les rseaux publics . Ils peuvent , toutefois , le faire travers la traduction dadresse rseau

IPv4
Les Rseaux privs virtuels :

Les paquets avec une adresse de destination prive sont ignors par tous les routeurs publiques .
Deux rseaux privs ne peuvent pas communiquer via linternet publique , sauf sils utilisent un tunnel IP ou un rseau priv virtuel VPN . Lorsquun rseau priv veut envoyer un paquet un autre rseau priv le 1er encapsule le paquet dans une couche de protocole afin que le paquet puisse voyager travers le rseau public. Lorsque le paquet atteint lautre rseau priv , la couche de protocole est retire et le paquet arrive sa destination

IPv4
Bouclage: Le rseau de classe A 127.0.0.0 est rserv pour le bouclage . Tests interprocessus sur une mme machine @ nest jamais transmise sur le rseau appele aussi Loop Back @

IPv4
Epuisement de lespace dadresses : Depuis les annes 1980 , il tait vident que lespace des adresses IPv4 disponible va spuiser un rythme qui ntait pas prvu dans la conception initiale du systme dadresse rseau. La menace dpuisement tait la motivation des technologies dassainissement tels que : _ Les rseaux bass sur les classes _ Les mthodes traduction dadresses rseau ( NAT ) :
Technologie permettant un rseau priv dutiliser @ IP publique.

_ IPv6

Epuisement des @ IPv4 depuis 1995

Distribution de lespace adressage IPv4

Distribution de l'espace d'adressage IPv4. Le 3 fvrier 2011, il ne reste plus aucun bloc d'adresses libre.

IPv4
Plusieurs forces du march ont acclr lpuisement des adresses IPv4: _ Croissance rapide des utilisateurs dinternet _ ADSL _ Appareils mobiles : ordinateurs portables , PDA ,tlphones mobiles

IPv4
Certaines technologies ont accentues lpuisement des adresses IPv4 : _ Traduction adresse Rseau NAT _ Utilisation des rseaux privs _ DHCP Dynamic Host configuration Protocol _ Hbergement virtuel de sites Web

IPv4
La solution retenue consiste utiliser IPv6 . La taille dadresses a t augmente jusqu 128 bits offrant ainsi un espace dadressage considrablement accru.

La migration vers IPv6 est en cours , mais lachvement est prvu de prendre un temps considrable.

IPv6

IPv6
IPv6 est la rvision la plus rcente de linternet

protocol IP . IPv6 est destin remplacer les anciens IPv4 qui est toujours lemploi pour la grande majorit du trafic internet jusqu nos jours.

IPv6 met en uvre un nouveau systme dadresses IP qui permet beaucoup plus dadresses attribues avec IPv4 , mais les deux protocoles ne sont pas compatibles , ce qui rend le passage compliqu.

IPv6

Lintgration des donnes , voix , audio & vido est maintenant une ralit Les organismes de distribution des @IP appliquent un contrle trs svre. Les pays mergeants demandent des @ IP : Chine , Inde , Japon , Kore demandent un plan dadressage IP global

IPv6
Chaque priphrique sur internet ( ordinateur tlphone mobile ,.) a besoin dune @IP pour communiquer avec dautres priphriques . Avec le nombre croissant de nouveaux priphriques , il y a un besoin de plus en plus d@ . Les adresses IPv6 utilisent 128 bits par consquent 3,4 1038 adresses.

IPv6
Les @ IPv6 , couramment affiches aux utilisateurs comportent huit groupes de quatre chiffres hexadcimaux spares par le signe : Par exemple : 2012:0BE6:EA09:110C:F345:768D:8AE1:009E

Attribution @ IPv6
Construction d'une adresse IPv6 modifie partir d'une adresse MAC : (Media Access Control) est un identifiant physique stock dans une carte rseau ou une interface rseau similaire Adresse MAC :

Bit 6 1 U/L=1

Insertion de 2 Octets

IPv6
Il est permis d'omettre de 1 3 chiffres zros non significatifs dans chaque groupe de 4 chiffres hexadcimaux. Ainsi, l'adresse IPv6 2001:0db8:0000:85a3:0000:0000:ac1f:8001 est = 2001:db8 :0 :85a3:0 :0 :ac1f:8001 De plus, une unique suite de un ou plusieurs groupes conscutifs de 16 bits tous nuls peut tre omise, en conservant toutefois les signes deux-points de chaque ct de la suite de chiffres omise, c'est--dire une paire de deux-points . Ainsi, l'adresse IPv6 ci-dessus peut tre abrge en : 2001:db8:0:85a3::ac1f:8001

Attribution @ IPv6
L'utilisation de l'adresse MAC d'une carte rseau pour construire une adresse IPv6 a suscit des inquitudes quant la protection des donnes personnelles dans la mesure o l'adresse MAC permet d'identifier de faon unique le matriel. Pour pallier cet inconvnient, il est possible d'utiliser des adresses temporaires gnres de faon pseudo-alatoire et modifies rgulirement (RFC 4941) ou bien d'utiliser un service d'attribution automatique des adresses IPv6 par un serveur, de faon similaire ce qui existe pour IPv4, avec DHCPv6.

IPv6
Le dploiement du protocole IPv6 sacclre , avec un monde IPv6 lancement partir du 6 juin 2012 . Les htes IPv6 peuvent configurer eux-mmes automatiquement lorsquils sont connect un rseau IPv6 rout via le protocole de dcouverte de voisin via des messages de dcouverte de routeur Internet Control Message Protocol version 6 ICMPv6

IPv6 Avantages IPv6/IPv4: _ Plus grand espace dadressage, _ Scurit de la couche rseau : Scurit du protocole internet IPsec a t initialement dvelopp pour IPv6 _ Simplification de traitement des routeurs : Dans IPv6 len-tte de paquet et le processus de transfert des paquets ont t simplifis et le traitement est devenu plus efficace.

IPv6 _ Mobilit : contrairement IPv4 , IPv6 Mobile vite le routage triangulaire et est donc plus efficace, _ Extensions des options : Les extensions des en-ttes ( 40 octets ) rend le protocole extensible permettant ainsi aux futurs services , une scurit , une mobilit et dautres _ Des mcanismes de configuration et de renumrotation automatique

En-tte @IPv6
L'en-tte du paquet IPv6 est de taille fixe 40 octets, tandis qu'en IPv4 la taille minimale est de 20 octets, des options pouvant la porter jusqu' 60 octets, ces options demeurant rares en pratique. Il est possible qu'un ou plusieurs en-ttes d'extension suivent l'en-tte IPv6. L'en-tte de routage permet par exemple la source de spcifier un chemin dtermin suivre.

En-tte IPv6

En-tte @IPv6
La signification des champs est la suivante :
Version (4 bits) : fix la valeur du numro de protocole internet, 6 Traffic Class (8 bits) : utilis dans la qualit de service. Flow Label (20 bits) : permet le marquage d'un flux pour un traitement diffrenci dans le rseau. Payload length (16 bits) : taille de la charge utile en octets. Next Header (8 bits) : identifie le type de header qui suit immdiatement selon la mme convention qu'IPv4. Hop Limit (8 bits) : dcrment de 1 par chaque routeur, le paquet est dtruit si ce champ atteint 0 en transit. Source Address (128 bits) : adresse source Destination Address (128 bits) : adresse destination.

Exercice 1
Simplifier lcriture de cette @ 2012:0db7:0000:0000:0000:E900:0043:1234

Simplifier lcriture de cette @ 0000:0000:0000:0000:0000:0000:0000:0001

Rponse 1
Simplification de lcriture de cette @ 2012:0db7:0000:0000:0000:E900:0043:1234 2012:DB7::E900:43:1234

Simplification de lcriture de cette @ 0000:0000:0000:0000:0000:0000:0000:0001 ::1

Exercice 2
Soit l@ MAC suivante : 0060.3E47.1530 Ecrire l@ quivalente IPv6 et simplifier l

Rponse 2
Soit l@ MAC suivante : 0060.3E47.1530 02.60.3E.FF.FE.47.15.30 Global unicast adresse : 2001:0410:0213:0001:0260:3EFF:FE47:1530 Simplification : 2001:410:213:1:260:3EFF:FE47:1530

IPsec

IPsec
IPSec (Internet Protocol Security, RFC 2401) est un protocole de la couche 3 du modle OSI, tout comme IP; il fut l'origine dvelopp dans le cadre de la version future de ce dernier protocole, savoir IPv6. Or, si IPSec existe depuis quelques temps dj, IPv6 n'est quant lui pas encore dploy grande chelle, ce qui aurait put empcher l'utilisation d'IPSec. Mais il n'en est rien puisque ce dernier a t port vers la version actuelle d'IP (IPv4) et est maintenant disponible pour tous (les plus rcents patches scurit de Windows 2000 l'incluent, et des distributions libres comme FreeSwan pour Linux existent galement).

IPsec
Certains autres systmes de scurit Internet largement utiliss, tels que Secure Sockets Layer (SSL), Transport Layer Security (TLS) et Secure Shell (SSH), fonctionnent dans les couches suprieures du modle TCP/IP. Avant , l'utilisation de TLS/SSL devait tre intgre dans une application pour protger les protocoles d'application. les applications ne doivent pas tre spcifiquement conues pour utiliser le protocole IPsec.

Par consquent, IPsec protge n'importe quel trafic applicatif via un rseau IP.

IPsec
Scurit du protocole Internet (IPsec) est une suite de protocoles pour scuriser les communications de Protocole Internet (IP) par authentification et cryptage de chaque paquet IP d'une session de communication. IPsec comprend galement les protocoles pour l'tablissement l'authentification mutuelle entre agents au dbut de la session et la ngociation des cls de chiffrement utiliser lors de la session.

IPsec
IPsec est un rgime de scurit de bout en bout dans la Couche Internet de la Suite de protocoles Internet. Il peut tre utilis pour protger le flux de donnes entre : _ Deux htes (hte-hte), _ Une paire de passerelles de scurit (rseau-rseau), _ Une passerelle de scurit et un hte (rseau-to-host).

IPsec
IPSec est un protocole destin fournir diffrents services de scurit. Il propose ainsi plusieurs choix et options qui lui permettent de rpondre de faon adapte aux besoins des entreprises, nomades, extranets, particuliers, etc... Nanmoins, son intrt principal reste sans conteste son mode dit de tunneling, c'est--dire d'encapsulation d'IP qui lui permet entre autres choses de crer des rseaux privs virtuels (VPN ) . Cette technologie pour but d'tablir une communication scurise (le tunnel) entre des entits loignes, spares par un rseau non scuris voir public comme Internet .

IPsec
De manire succincte, citons quelques proprits gnrales des tunnels destins aux VPNs : _ les donnes transitant sont chiffres (confidentialit) et protges (intgrit) _ les 2 extrmits sont authentifies _ les adresses sources et destinations sont chiffres, avec IPSec (IP dans IPSec) _ Ils peuvent prsenter, suivant le protocole, des qualits antirejeux ou empcher les attaques type man-in-the-middle.

IPsec
Les implmentations d'IPSec
D'un point de vue pratique, IPSec est un protocole relativement difficile implmenter d'une part cause de sa complexit intrinsque (multiples sous-protocoles...) et d'autre part cause de ses interactions avec les processus rseau courants. S'il a t conu avec des critres tel que l'interoprablit en tte, IPSec n'en reste pas moins un protocole de niveau 3 qui ne supporte aucune modification ni altration ce niveau (ou suprieur) une fois ses paquets crs.

IPsec
Les services proposs par IPSec
Les services de scurit proposs par IPSec permettent d'assurer les proprits des tunnels et VPNs cites prcdemment : Authentification des extrmits : cette authentification mutuelle permet chacun de s'assurer de l'identit de son interlocuteur. Rappelons tout de mme qu'IPSec est un protocole de niveau 3 et qu'il ne fournit donc qu'une authentification de niveau gal, c'est-dire une authentification des machines mettant en uvre le protocole plutt que des personnes utilisant rellement la machine. Nous verrons techniquement comme l'authentification est effectue dans les paragraphes suivants.

IPsec
Confidentialit des donnes changes : IPSec permet si on le dsire de chiffrer le contenu de chaque paquet IP pour viter que quiconque ne le lise. Authenticit des donnes : IPSec permet de s'assurer, pour chaque paquet chang, qu'il a bien t mis par la bonne machine et qu'il est bien destination de la seconde machine. Intgrit des donnes changes : IPSec permet de s'assurer qu'aucun paquet n'a subit de modification quelconque (attaque dite active) durant son trajet.

IPsec
Protection contre les coutes et analyses de trafic : IPSec permet de chiffrer les adresses IP relles de la source et de la destination, ainsi que tout l'en-tte IP correspondant. C'est le mode de tunneling, qui empche tout attaquant l'coute d'infrer des informations sur les identits relles des extrmits du tunnel, sur les protocoles utiliss au-dessus d'IPSec, sur l'application utilisant le tunnel (timing-attacks et autres)... Protection contre le rejeu : IPSec permet de se prmunir contre les attaques consistant capturer un ou plusieurs paquets dans le but de les envoyer nouveau (sans pour autant les avoir dchiffrs) pour bnficier des mme avantages que l'envoyeur initial.

IPsec
Architecture de scurit:

La suite IPsec est une norme ouverte. IPsec utilise les protocoles suivants pour excuter diverses fonctions : > En-ttes d'authentification (AH) prvoient l'intgrit et des donnes sans connexion origine authentification des Datagrammes IP et offre une protection contre les attaques de relecture.
> Charge utile ESP (Encapsulating Security) garantit la confidentialit, donnes origine authentification.

IPsec
Le protocole d'authentification AH
Le protocole AH (Authentification Header) fournit les services de scurit suivants : Intgrit en mode non-connect (voir l'article introduisant la scurit informatique) Authentification des donnes Anti-rejeu (optionnel) L'en-tte AH se compose de 6 champs comme le dcrit l'image suivante :

IPsec
AH permet de se protger contre les attaques de type : _ Spoofing et autres modifications des paquets IP _ Rejeux _ DoS quand ils sont bass sur la charge implique par les calculs cryptographiques (la vrification d'intgrit n'intervient qu'aprs)

IPsec
Le protocole de confidentialit ESP
Le protocole ESP (Encapsulating Security Payload) fournit les services de scurit suivants : _Confidentialit _Protection contre de l'analyse de trafic _Intgrit en mode non-connect (comme AH) _Authentification des don On peut voir tout de suite qu'ESP couvre les services offerts par AH, et on peut se demander pourquoi AH est utilis et pourquoi l'on complique ainsi un protocole qui l'est dj bien assez. C'est en effet une question qui est d'actualit mais nanmoins il faut souligner le fait qu'AH offre des services plus complets qu'ESP car il est le seul protger l'en-tte du paquet (en-tte original en mode Transport, en-tte IPSec en mode Tunnel). ESP ne protge que les donnes (c'est--dire tout au plus l'en-tte original en mode Tunnel).

IPsec
L'en-tte ESP se compose de 7 champs (dont 2 optionnels) comme le dcrit l'image suivante : _ Nes (comme AH) _ Anti-rejeu (comme AH)

IPsec
Description des modes d'IPSec : (3 Modes ) Le mode Transport ne modifie pas l'en-tte initial; il s'intercale entre le protocole rseau (IP) et le protocole de transport (TCP, UDP...). Plusieurs variantes existent, conformment aux protocoles dcrits plus haut :

IPsec
Mode de transport En mode transport, uniquement la charge utile du paquet IP est gnralement chiffr et/ou authentifi. Le routage est intact, tant donn que l'en-tte IP n'est ni modifie ni chiffre ; Lorsque l' en-tte d'authentification est utilise, les adresses IP ne peuvent pas toutefois tre traduites, car cela entranera l'annulation de la valeur de hachage. Les couches transport et application sont toujours scurises par hachage .

IPsec
Le mode Tunnel remplace les en-ttes IP originaux et encapsule la totalit du paquet IP. Par exemple, l'adresse IPA externe pourra tre celle de la passerelle de scurit implmentant IPSec, et l'adresse IPB interne sera celle de la machine finale, sur le rseau derrire la passerelle.

IPsec
Mode de tunnel En mode tunnel, la totalit du paquet IP est chiffre et/ou authentifie. Elle est ensuite encapsule dans un nouveau paquet IP avec un en-tte IP. Le mode tunnel est utilis pour crer des rseaux privs virtuels pour les communications rseau rseau (exemple entre les routeurs pour relier des sites), communications hte-rseau (accs des utilisateurs distants, par exemple) et la communication hte-hte (exple : chat priv).

IPsec
Le mode de Nesting est hybride puisqu'il utilise les 2 modes cits prcdemment. Il s'agit bien d'encapsuler de l'IPSec dans de l'IPSec; nous verrons plus tard les rpercussions au niveau implmentation (bundle de SAs) :

IPsec
Conclusion :
IPSec est comme nous l'avons vu un assemblage de plusieurs protocoles et mcanismes ce qui le rend techniquement trs complexe. Je vous invite consulter les RFCs correspondantes pour toute question prcise son sujet.
IPSec est d'autre part en constante volution car il est soutenu par une grande population technique et scientifique. Il existe de nombreux drafts son sujet ou sur des sujets annexes comme l'interoprabilit avec les dispositifs de translation d'adresse.

IPsec
Conclusion :

Rappelons enfin qu'un des objectifs de cette fiche est galement de soulever les limites de ce protocole; il est bon de savoir par exemple qu'IPSec ne permet pas d'authentifier les personnes et ne peut donc pas servir scuriser des transactions. De ce point de vue, ce n'est pas un concurrent de SSL.