Négociation de l'encapsulation UDP de IPSec

Embed Size (px)

Citation preview

  • 8/9/2019 Ngociation de l'encapsulation UDP de IPSec

    1/8

  • 8/9/2019 Ngociation de l'encapsulation UDP de IPSec

    2/8

    Encapsulation UDP de l'ESP d' IPsec Page 2

    Ngociation de l'encapsulation UDP de IPSecCe document dcrit comment encapsuler et .dcapsuler les paquets IPSec ESP(Encapsulating Security Payload) dans des paquets UDP pour permettre leurs passage travers des NAT (Network Address Tipvranslators). L'encapsulation ESP dfinie

    dans ce document est utilisable dans le cas de IPv4 et IPv6. L'encapsulation est utilissi ngoci auparavant avec le protocole IKE (Internet Key Exchange).Ce document sinspire du draft de lIETF : draft-ietf-ipsec-udp-encaps-06.txt.

    Table des matiresNgociation de l'encapsulation UDP de IPSec ........................................................... 2

    Table des matires................................................................................................. 2Introduction........................................................................................................... 2Format des paquets................................................................................................ 3

    UDP-encapsulated ESP Header ......................................................................... 3Floated IKE Header........................................................................................... 3

    NAT-keepalive Packet....................................................................................... 4Procdures d'encapsulation et dcapsulation .......................................................... 4

    Procdures auxiliaires........................................................................................ 4Encapsulation ESP du mode Transport .............................................................. 5Dcapsulation ESP du mode Transport .............................................................. 6Encapsulation ESP du mode Tunnel .................................................................. 6Dcapsulation ESP du mode Tunel .................................................................... 6

    Procdure pour le keepalive NAT.......................................................................... 6Considrations sur la scurit ................................................................................ 7

    Dni de service DoS .......................................................................................... 7Conflits du mode Tunnel ................................................................................... 7Conflits du mode Transport ............................................................................... 7

    Mots cls............................................................................................................... 8

    IntroductionCe document dfini les mthodes d'encapsulation et dcapsulation de paquets ESPdans des paquets UDP pour le passage de NAT. Les ports UDP utiliss sont lesmmes que ceux utiliss pour le trafic IKE, comme dfinit dans le document draft-ietf-ipsec-nat-t-ike-05.txt.Les clients IPSec doivent supporter au moins le mode transport. Pour distinguer lespaquets ESP des paquets IKE, l'implmentation IKE qui supporte l'encapsulationUDP ne doit pas utiliser le champ zro des SPI ESP pour les paquets ESP.

  • 8/9/2019 Ngociation de l'encapsulation UDP de IPSec

    3/8

    Encapsulation UDP de l'ESP d' IPsec Page 3

    Format des paquets

    UDP-encapsulated ESP Header

    !"#$

    %%%

    L'entte UDP est standard selon le protocole UDP, comme le dcrit le document[RFC 768]. Les ports source et destination doivent tre les mmes utiliss pour le

    trafic IKE. Le checksum devrait tre transmis avec la valeur zro; les rcepteurs nedoivent donc pas contrler se checksum.

    Le champ SIP dans l'entte ESP ne doit pas tre zro.

    Floated IKE Header

    &'(

    )*!"#$%%%

    L'entte UDP est standard selon le protocole UDP, comme le dcrit le document[RFC 768]. Les ports source et destination doivent tre les mmes utiliss pour le

    trafic IKE. Le checksum devrait tre transmis avec la valeur zro; les rcepteurs nedoivent donc pas contrler se checksum.

    Le champ Non-ESP Marker est au mme endroit que le champ SPI d'un paquet ESP.

  • 8/9/2019 Ngociation de l'encapsulation UDP de IPSec

    4/8

    Encapsulation UDP de l'ESP d' IPsec Page 4

    NAT-keepalive Packet

    +##

    L'entte UDP est standard selon le protocole UDP, comme le dcrit le document[RFC 768]. Les ports source et destination doivent tre les mmes utiliss pour letrafic IKE. Le checksum devrait tre transmis avec la valeur zro; les rcepteurs nedoivent donc pas contrler se checksum.

    L'metteurdevrait

    utiliser un payload avec un octet long de valeur 0xFF.Le rcepteur devrait ignorer un paquet NAT-keepalive.

    Procdures d'encapsulation et dcapsulation

    Procdures auxiliaires

    Procdure de dcapsulation NAT du mode tunnelQuand le mode tunnel est utilis pour la transmission des paquets, l'entte IPcontenue peut avoir des adresses qui ne sont pas utilisables pour le rseau courant.Cette procdure dfinit comment convertir ces adresses pour tre utilisable dans le

    rseau courant.

    Selon la politique de scurit locale, au moins une des conditions suivantes doit treeffectue:

    1. Si une espace d'adressage IP valide a t dfini dans les rgles de cetteconnexion, il faut contrler que l'espace d'adressage des paquets correspondbien ces rgles.

    2. Si une adresse IP a t assigne au pair distant, il faut contrler que l'IP sourcecontenu dans ses paquets correspond bien celle assigne.

    3. Une translation d'adresse NAT est effectue sur les paquets afin qu'il puissenttre transports vers le rseaux local.

    Procdure de dcapsulation NAT du mode transportQuand le mode transport est utilise pour la transmission des paquets, les enttes TCPou UDP des paquets contenus, auront des checksum pas corrects cause de lamodification des paquets IP pendant la transition.Cette procdure dfinit comment corriger ces checksums.

  • 8/9/2019 Ngociation de l'encapsulation UDP de IPSec

    5/8

    Encapsulation UDP de l'ESP d' IPsec Page 5

    Selon la politique de scurit locale, au moins une des conditions suivantes doit treeffectue:

    1. Si l'entte aprs celle d'ESP est TCP/UDP et on a reu, selon le documentdraft-ietf-ipsec-nat-t-ike-05.txt, les adresses IP source et destination relles dupair distant avec le protocole IKE, il faut recalculer les checksum TCP/UDP

    comme de suite:a. Soustraire au checksum l'adresse IP source du paquet.b. Ajouter au checksum la vraie adresse IP source reue (obtenue avec un

    payload NAT-OA)c. Soustraire au checksum l'adresse IP destination du paquet.d. Ajouter au checksum la vraie adresse IP destination reue (obtenue

    avec un payload NAT-OA) noter: si les adresses reues sont les mmes que les adresses relles, lesoprations d'effacements ne doivent pas tre effectues.

    2. Si l'entte aprs celle d'ESP est TCP/UDP, il faut recalculer simplement leschecksum TCP/UDP.

    3. Si l'entte aprs celle d'ESP est UDP, mettre zro le checksum de l'entteUDP.Si l'entte aprs celle d'ESP est TCP, et l'option de ne pas tester le checksumest active, le checksum n'est pas calcul; ce flag pourrait tre utilis.Tout ceci doit tre effectu uniquement pour le mode transport et si onprotge l'intgrit du paquet. Les checksums du mode tunnel doivent trevrifis.

    De plus, chaque implmentation pourrait fixer aussi d'autres protocoles modifies parle NAT.

    Encapsulation ESP du mode Transport

    Avant l'encapsulation ESP/UDP:

    ),

    )-./0

    1

    212

    Aprs l'encapsulation ESP/UDP:

    ),

    )-./0

    34

    4

    1

    212

    15

    2

    ./6 276

    La normale procdure d'encapsulation ESP est utilise.Une entte prfabriqu a t insre comme indiqu dans la figure prcdente.Les champs de la longueur totale, du type de protocole et du checksum de

    l'entte IP sont corrigs.

  • 8/9/2019 Ngociation de l'encapsulation UDP de IPSec

    6/8

    Encapsulation UDP de l'ESP d' IPsec Page 6

    Dcapsulation ESP du mode Transport

    L'entte UDP est enleve du paquet.Les champs de la longueur totale, du type de protocole et du checksum de

    l'entte IP sont corrigs.La normale procdure de dcapsulation ESP est utilise.La procdure du mode transport de le dcapsulation NAT est utilise.

    Encapsulation ESP du mode Tunnel

    Avant l'encapsulation ESP/UDP:

    ),

    )-./0

    1

    212

    Aprs l'encapsulation ESP/UDP:

    ),

    &8-/0

    34

    4

    )-./0

    1

    212

    15

    2

    ./6 276

    La normale procdure d'encapsulation ESP est utilise.Une entte prfabriqu a t insre comme indiqu dans la figure prcdente.Les champs de la longueur totale, du type de protocole et du checksum de la

    nouvelle entte IP sont corrigs.

    Dcapsulation ESP du mode TunelL'entte UDP est enleve du paquet.Les champs de la longueur totale, du type de protocole et du checksum de la

    nouvelle entte IP sont corrigs.La normale procdure de dcapsulation ESP est utilise.La procdure du mode tunnel de le dcapsulation NAT est utilise.

    Procdure pour le keepalive NATLe seul objectif de l'envoi de paquets NAT-keepalive, est de garantir les mappagesNAT actifs pour toute la dure d'une connexion entre pairs. La rception de paquets

    NAT-keepalive ne doit pas tre utilis pour dtecter si la connexion existe encore.Un pair peut envoyer un NAT-keepalive s'il existe une ou plusieurs SA de phase 1 ou2 de IKE, ou si une SA exist au moins N minutes auparavant. N est un paramtreconfigurable localement avec une valeur par dfaut de 5 minutes.

    Un pair devrait envoyer un NAT-keepalive si ncessaire, selon le document draft-ietf-ipsec-nat-t-ike-05.txtet aucun message n' a pas t envoy pendant M seconds. Mest un paramtre configurable localement avec une valeur par dfaut de 20 seconds.

  • 8/9/2019 Ngociation de l'encapsulation UDP de IPSec

    7/8

    Encapsulation UDP de l'ESP d' IPsec Page 7

    Considrations sur la scuritLorsqu'on effectue des changements fondamentaux d'un protocole de scurit, on nepeut pas s'chapper un tude des implications sur la scurit.

    Dni de service DoS

    Dans certaines configurations, l'encapsulation ESP-UDP, put engendrer desconsquences d'attaque de dni de service, spcialement si des ports UDP utiliss parle systme d'exploitation sont utiliss. Il est recommand de ne pas ouvrire un portUDP ordinaire pour cette fonction.

    Conflits du mode Tunnel

    Dans le cas suivant il y a possibilit de conflits:

    Le gateway VPN verra maintenant deux SA possibles pour 10.1.2.3. C'est auximplmentateurs de trouver des solutions pour prvenir ce cas.

    Il est recommand l'usage de protocoles d'assignation d'adresses IP comme DHCP-over-IPSec (trait dans le document draft-ietf-ipsec-dhcp-13.txt) ou simplementconfigurer les IP pour que le conflit n'intervienne pas.

    Conflits du mode Transport

    Un cas similaire peut arriver dans le mode transport avec deux clients, Gege et Bob,se trouvant derrire un NAT et qui causent de faon sre avec un serveur. Untroisime utilisateur, Gigi, veut communiquer avec le mme serveur mais en clair.

    Maintenant, les SA de transport sur le serveur ressemblent ceci:

    9:&21;

  • 8/9/2019 Ngociation de l'encapsulation UDP de IPSec

    8/8

    Encapsulation UDP de l'ESP d' IPsec Page 8