prev
next
out of 8

Négociation de l'encapsulation UDP de IPSec

Embed Size (px)

Citation preview

  • 8/9/2019 Ngociation de l'encapsulation UDP de IPSec

    1/8

  • 8/9/2019 Ngociation de l'encapsulation UDP de IPSec

    2/8

    Encapsulation UDP de l'ESP d' IPsec Page 2

    Ngociation de l'encapsulation UDP de IPSecCe document dcrit comment encapsuler et .dcapsuler les paquets IPSec ESP(Encapsulating Security Payload) dans des paquets UDP pour permettre leurs passage travers des NAT (Network Address Tipvranslators). L'encapsulation ESP dfinie

    dans ce document est utilisable dans le cas de IPv4 et IPv6. L'encapsulation est utilissi ngoci auparavant avec le protocole IKE (Internet Key Exchange).Ce document sinspire du draft de lIETF : draft-ietf-ipsec-udp-encaps-06.txt.

    Table des matiresNgociation de l'encapsulation UDP de IPSec ........................................................... 2

    Table des matires................................................................................................. 2Introduction........................................................................................................... 2Format des paquets................................................................................................ 3

    UDP-encapsulated ESP Header ......................................................................... 3Floated IKE Header........................................................................................... 3

    NAT-keepalive Packet....................................................................................... 4Procdures d'encapsulation et dcapsulation .......................................................... 4

    Procdures auxiliaires........................................................................................ 4Encapsulation ESP du mode Transport .............................................................. 5Dcapsulation ESP du mode Transport .............................................................. 6Encapsulation ESP du mode Tunnel .................................................................. 6Dcapsulation ESP du mode Tunel .................................................................... 6

    Procdure pour le keepalive NAT.......................................................................... 6Considrations sur la scurit ................................................................................ 7

    Dni de service DoS .......................................................................................... 7Conflits du mode Tunnel ................................................................................... 7Conflits du mode Transport ............................................................................... 7

    Mots cls............................................................................................................... 8

    IntroductionCe document dfini les mthodes d'encapsulation et dcapsulation de paquets ESPdans des paquets UDP pour le passage de NAT. Les ports UDP utiliss sont lesmmes que ceux utiliss pour le trafic IKE, comme dfinit dans le document draft-ietf-ipsec-nat-t-ike-05.txt.Les clients IPSec doivent supporter au moins le mode transport. Pour distinguer lespaquets ESP des paquets IKE, l'implmentation IKE qui supporte l'encapsulationUDP ne doit pas utiliser le champ zro des SPI ESP pour les paquets ESP.

  • 8/9/2019 Ngociation de l'encapsulation UDP de IPSec

    3/8

    Encapsulation UDP de l'ESP d' IPsec Page 3

    Format des paquets

    UDP-encapsulated ESP Header

    !"#$

    %%%

    L'entte UDP est standard selon le protocole UDP, comme le dcrit le document[RFC 768]. Les ports source et destination doivent tre les mmes utiliss pour le

    trafic IKE. Le checksum devrait tre transmis avec la valeur zro; les rcepteurs nedoivent donc pas contrler se checksum.

    Le champ SIP dans l'entte ESP ne doit pas tre zro.

    Floated IKE Header

    &'(

    )*!"#$%%%

    L'entte UDP est standard selon le protocole UDP, comme le dcrit le document[RFC 768]. Les ports source et destination doivent tre les mmes utiliss pour le

    trafic IKE. Le checksum devrait tre transmis avec la valeur zro; les rcepteurs nedoivent donc pas contrler se checksum.

    Le champ Non-ESP Marker est au mme endroit que le champ SPI d'un paquet ESP.

  • 8/9/2019 Ngociation de l'encapsulation UDP de IPSec

    4/8

    Encapsulation UDP de l'ESP d' IPsec Page 4

    NAT-keepalive Packet

    +##

    L'entte UDP est standard selon le protocole UDP, comme le dcrit le document[RFC 768]. Les ports source et destination doivent tre les mmes utiliss pour letrafic IKE. Le checksum devrait tre transmis avec la valeur zro; les rcepteurs nedoivent donc pas contrler se checksum.

    L'metteurdevrait

    utiliser un payload avec un octet long de valeur 0xFF.Le rcepteur devrait ignorer un paquet NAT-keepalive.

    Procdures d'encapsulation et dcapsulation

    Procdures auxiliaires

    Procdure de dcapsulation NAT du mode tunnelQuand le mode tunnel est utilis pour la transmission des paquets, l'entte IPcontenue peut avoir des adresses qui ne sont pas utilisables pour le rseau courant.Cette procdure dfinit comment convertir ces adresses pour tre utilisable dans le

    rseau courant.

    Selon la politique de scurit locale, au moins une des conditions suivantes doit treeffectue:

    1. Si une espace d'adressage IP valide a t dfini dans les rgles de cetteconnexion, il faut contrler que l'espace d'adressage des paquets correspondbien ces rgles.

    2. Si une adresse IP a t assigne au pair distant, il faut contrler que l'IP sourcecontenu dans ses paquets correspond bien celle assigne.

    3. Une translation d'adresse NAT est effectue sur les paquets afin qu'il puissenttre transports vers le rseaux local.

    Procdure de dcapsulation NAT du mode transportQuand le mode transport est utilise pour la transmission des paquets, les enttes TCPou UDP des paquets contenus, auront des checksum pas corrects cause de lamodification des paquets IP pendant la transition.Cette procdure dfinit comment corriger ces checksums.

  • 8/9/2019 Ngociation de l'encapsulation UDP de IPSec

    5/8

    Encapsulation UDP de l'ESP d' IPsec Page 5

    Selon la politique de scurit locale, au moins une des conditions suivantes doit treeffectue:

    1. Si l'entte aprs celle d'ESP est TCP/UDP et on a reu, selon le documentdraft-ietf-ipsec-nat-t-ike-05.txt, les adresses IP source et destination relles dupair distant avec le protocole IKE, il faut recalculer les checksum TCP/UDP

    comme de suite:a. Soustraire au checksum l'adresse IP source du paquet.b. Ajouter au checksum la vraie adresse IP source reue (obtenue avec un

    payload NAT-OA)c. Soustraire au checksum l'adresse IP destination du paquet.d. Ajouter au checksum la vraie adresse IP destination reue (obtenue

    avec un payload NAT-OA) noter: si les adresses reues sont les mmes que les adresses relles, lesoprations d'effacements ne doivent pas tre effectues.

    2. Si l'entte aprs celle d'ESP est TCP/UDP, il faut recalculer simplement leschecksum TCP/UDP.

    3. Si l'entte aprs celle d'ESP est UDP, mettre zro le checksum de l'entteUDP.Si l'entte aprs celle d'ESP est TCP, et l'option de ne pas tester le checksumest active, le checksum n'est pas calcul; ce flag pourrait tre utilis.Tout ceci doit tre effectu uniquement pour le mode transport et si onprotge l'intgrit du paquet. Les checksums du mode tunnel doivent trevrifis.

    De plus, chaque implmentation pourrait fixer aussi d'autres protocoles modifies parle NAT.

    Encapsulation ESP du mode Transport

    Avant l'encapsulation ESP/UDP:

    ),

    )-./0

    1

    212

    Aprs l'encapsulation ESP/UDP:

    ),

    )-./0

    34

    4

    1

    212

    15

    2

    ./6 276

    La normale procdure d'encapsulation ESP est utilise.Une entte prfabriqu a t insre comme indiqu dans la figure prcdente.Les champs de la longueur totale, du type de protocole et du checksum de

    l'entte IP sont corrigs.

  • 8/9/2019 Ngociation de l'encapsulation UDP de IPSec

    6/8

    Encapsulation UDP de l'ESP d' IPsec Page 6

    Dcapsulation ESP du mode Transport

    L'entte UDP est enleve du paquet.Les champs de la longueur totale, du type de protocole et du checksum de

    l'entte IP sont corrigs.La normale procdure de dcapsulation ESP est utilise.La procdure du mode transport de le dcapsulation NAT est utilise.

    Encapsulation ESP du mode Tunnel

    Avant l'encapsulation ESP/UDP:

    ),

    )-./0

    1

    212

    Aprs l'encapsulation ESP/UDP:

    ),

    &8-/0

    34

    4

    )-./0

    1

    212

    15

    2

    ./6 276

    La normale procdure d'encapsulation ESP est utilise.Une entte prfabriqu a t insre comme indiqu dans la figure prcdente.Les champs de la longueur totale, du type de protocole et du checksum de la

    nouvelle entte IP sont corrigs.

    Dcapsulation ESP du mode TunelL'entte UDP est enleve du paquet.Les champs de la longueur totale, du type de protocole et du checksum de la

    nouvelle entte IP sont corrigs.La normale procdure de dcapsulation ESP est utilise.La procdure du mode tunnel de le dcapsulation NAT est utilise.

    Procdure pour le keepalive NATLe seul objectif de l'envoi de paquets NAT-keepalive, est de garantir les mappagesNAT actifs pour toute la dure d'une connexion entre pairs. La rception de paquets

    NAT-keepalive ne doit pas tre utilis pour dtecter si la connexion existe encore.Un pair peut envoyer un NAT-keepalive s'il existe une ou plusieurs SA de phase 1 ou2 de IKE, ou si une SA exist au moins N minutes auparavant. N est un paramtreconfigurable localement avec une valeur par dfaut de 5 minutes.

    Un pair devrait envoyer un NAT-keepalive si ncessaire, selon le document draft-ietf-ipsec-nat-t-ike-05.txtet aucun message n' a pas t envoy pendant M seconds. Mest un paramtre configurable localement avec une valeur par dfaut de 20 seconds.

  • 8/9/2019 Ngociation de l'encapsulation UDP de IPSec

    7/8

    Encapsulation UDP de l'ESP d' IPsec Page 7

    Considrations sur la scuritLorsqu'on effectue des changements fondamentaux d'un protocole de scurit, on nepeut pas s'chapper un tude des implications sur la scurit.

    Dni de service DoS

    Dans certaines configurations, l'encapsulation ESP-UDP, put engendrer desconsquences d'attaque de dni de service, spcialement si des ports UDP utiliss parle systme d'exploitation sont utiliss. Il est recommand de ne pas ouvrire un portUDP ordinaire pour cette fonction.

    Conflits du mode Tunnel

    Dans le cas suivant il y a possibilit de conflits:

    Le gateway VPN verra maintenant deux SA possibles pour 10.1.2.3. C'est auximplmentateurs de trouver des solutions pour prvenir ce cas.

    Il est recommand l'usage de protocoles d'assignation d'adresses IP comme DHCP-over-IPSec (trait dans le document draft-ietf-ipsec-dhcp-13.txt) ou simplementconfigurer les IP pour que le conflit n'intervienne pas.

    Conflits du mode Transport

    Un cas similaire peut arriver dans le mode transport avec deux clients, Gege et Bob,se trouvant derrire un NAT et qui causent de faon sre avec un serveur. Untroisime utilisateur, Gigi, veut communiquer avec le mme serveur mais en clair.

    Maintenant, les SA de transport sur le serveur ressemblent ceci:

    9:&21;

  • 8/9/2019 Ngociation de l'encapsulation UDP de IPSec

    8/8

    Encapsulation UDP de l'ESP d' IPsec Page 8


VPN: SSL vs IPSEC

VPN: SSL vs IPSEC

Technology
ACHATS - Négociation

ACHATS - Négociation

Documents
Les debugs de Phase 1 DMVPN dépannent le guide€¦ · Protocole ISAKMP (Internet Security Association and Key Management Protocol) Échange de clés Internet (IKE) IPSec (IPSec)

Les debugs de Phase 1 DMVPN dépannent le guide€¦ · Protocole ISAKMP (Internet Security Association and Key Management Protocol) Échange de clés Internet (IKE) IPSec (IPSec)

Documents
Guide méthodologique La négociation collectiveauvergne-rhone-alpes.direccte.gouv.fr/sites/auvergne-rhone-alpes... · Le processus de la négociation collective p. 27 La négociation

Guide méthodologique La négociation collectiveauvergne-rhone-alpes.direccte.gouv.fr/sites/auvergne-rhone-alpes... · Le processus de la négociation collective p. 27 La négociation

Documents
Les acteurs de la négociation collective A - Négociation

Les acteurs de la négociation collective A - Négociation

Documents
HOWTO : VPN IPsec entre 2 sites ayant la même …nanabozo2.free.fr/docs/infos/netasq/vpn_plage_ip_recouvrante.pdf · correspondants VPN peut être à l’initiative de la négociation

HOWTO : VPN IPsec entre 2 sites ayant la même …nanabozo2.free.fr/docs/infos/netasq/vpn_plage_ip_recouvrante.pdf · correspondants VPN peut être à l’initiative de la négociation

Documents
Routage OSPF & VPN IPsec site à site

Routage OSPF & VPN IPsec site à site

Documents
IPL-E IPL-A IPL-Cetictelecom.com/telechargement/produits/ipl_eacw_sg_fr...On choisira IPSec lorsque le routeur IPL-A doit établir un VPN avec un serveur VPN IPSec déjà installé

IPL-E IPL-A IPL-Cetictelecom.com/telechargement/produits/ipl_eacw_sg_fr...On choisira IPSec lorsque le routeur IPL-A doit établir un VPN avec un serveur VPN IPSec déjà installé

Documents
Rappels: Java et internet M1 Protocoles réseaux. Sommaire Rappels java Entrées-sorties Thread Rappels tcp-udp Socket tcp et SocketServer Socket udp compléments

Rappels: Java et internet M1 Protocoles réseaux. Sommaire Rappels java Entrées-sorties Thread Rappels tcp-udp Socket tcp et SocketServer Socket udp compléments

Documents
La Négociation

La Négociation

Documents
négociation (2)

négociation (2)

Documents
Rapport de projet de 5ème année - Wiki de Projets IMA4. udp: permet de démarrer un serveur udp et d'envoyer des paquets via le protocole udp sur un port prédé ni L'exemple gnrc_networking

Rapport de projet de 5ème année - Wiki de Projets IMA4. udp: permet de démarrer un serveur udp et d'envoyer des paquets via le protocole udp sur un port prédé ni L'exemple gnrc_networking

Documents
Formation négociation

Formation négociation

Documents
Distribution de politiques de sécurité IPsec

Distribution de politiques de sécurité IPsec

Documents
ICND1 0x02 Labs TCP/UDP

ICND1 0x02 Labs TCP/UDP

Education
Réseau et Java Rappels Tcp-udp H. Fauconnier M2-Internet Java 1

Réseau et Java Rappels Tcp-udp H. Fauconnier M2-Internet Java 1

Documents
Introduction aux Systèmes distribués Sockets TCP/UDP et leur …ecariou.perso.univ-pau.fr/.../sd-l3-old/cours-2-sockets.pdf · 2007. 9. 25. · Sockets UDP : principe Principe de

Introduction aux Systèmes distribués Sockets TCP/UDP et leur …ecariou.perso.univ-pau.fr/.../sd-l3-old/cours-2-sockets.pdf · 2007. 9. 25. · Sockets UDP : principe Principe de

Documents
Le succès du placement profond de l’urée (UDP)continue au Bangladesh

Le succès du placement profond de l’urée (UDP)continue au Bangladesh

Documents
Recommandations de sécurité relatives à IPsec pour la protection

Recommandations de sécurité relatives à IPsec pour la protection

Documents
les protocoles de transport TCP et UDP

les protocoles de transport TCP et UDP

Documents
Routage OSPF & VPN IPsec site à site · Routage OSPF & VPN IPsec site à site Le secret partagé est utilisé pour calculer une valeur qui sert ensuite aux calculs des clés utilisées

Routage OSPF & VPN IPsec site à site · Routage OSPF & VPN IPsec site à site Le secret partagé est utilisé pour calculer une valeur qui sert ensuite aux calculs des clés utilisées

Documents
négociation commerciale

négociation commerciale

Documents
Interopérabilité avec les protocoles IPSec

Interopérabilité avec les protocoles IPSec

Documents
Julien Tabas BTS SIO 2 Ipsec PFSense PFSense : Ipsec est un protocole qui permet d’assurer des communications privées et protégées sur des ré- seaux IP. Il opère sur la couche

Julien Tabas BTS SIO 2 Ipsec PFSense PFSense : Ipsec est un protocole qui permet d’assurer des communications privées et protégées sur des ré- seaux IP. Il opère sur la couche

Documents
Configuration d'un tunnel IPSec entre un concentrateur ... · Configuration d'un tunnel IPSec entre un concentrateur Cisco VPN 3000 et un pare-feu Checkpoint NG Contenu Introduction

Configuration d'un tunnel IPSec entre un concentrateur ... · Configuration d'un tunnel IPSec entre un concentrateur Cisco VPN 3000 et un pare-feu Checkpoint NG Contenu Introduction

Documents
TCP / UDP : Pour les nuls

TCP / UDP : Pour les nuls

Documents
Négociation contractuelle

Négociation contractuelle

Education
Protocole IPSEC - WordPress.com · Protocole IPsec S. Lazaar slazaar@uae.ac.ma Introduction: IP Sec, développé par l'IETF (Internet Engineering Task Force), a pour but de: ‘Sécuise

Protocole IPSEC - WordPress.com · Protocole IPsec S. Lazaar [email protected] Introduction: IP Sec, développé par l'IETF (Internet Engineering Task Force), a pour but de: ‘Sécuise

Documents
Guide VPN Ipsec Mpls

Guide VPN Ipsec Mpls

Documents
Internationale - Négociation

Internationale - Négociation

Documents