Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Protection de connexion.

  • Печать
Обновлено 10.10.2025 06:12

Pour établir une connexion sécurisée, les deux participants à la session doivent pouvoir négocier rapidement des paramètres de sécurité tels que des algorithmes d'authentification et des clés. IPSec prend en charge deux types de schémas de gestion des clés qui permettent aux participants de négocier des paramètres de session.

Avec la version actuelle d'IP, IPv4, Internet Secure Association Key Management Protocol (ISAKMP) ou Simple Key Management for Internet Protocol peuvent être utilisés.

Titre AH.

L'en-tête d'authentification facultatif (AH) est un en-tête d'authentification ordinaire et se situe le plus souvent entre l'en-tête principal du paquet IP et le champ de données. La présence de cet en-tête n'affecte en rien le processus de transmission des informations de transport et de niveau supérieur. L'objectif principal et unique d'AH est de fournir une protection contre les attaques liées à la modification non autorisée du contenu du paquet, y compris contre l'usurpation de l'adresse source de la couche réseau. Les protocoles de niveau supérieur doivent être modifiés pour vérifier l & apos; authenticité des données reçues.

Considérons les valeurs de chacun des champs donnés.

Next Header (8 bits) - le type d'en-tête de protocole qui suit l'en-tête AH. Dans ce champ, le module de réception IP-sec apprend le protocole de niveau supérieur à protéger. Les valeurs de ce champ pour les différents protocoles peuvent être consultées dans la RFC 1700.

Payload Len (8 bits)-ce champ spécifie la taille totale de l'en-tête en mots de 32 bits moins 2. Malgré cela, lors de l'utilisation d'IPv6, la longueur de l'en-tête doit être un multiple de 8 octets.

Reserved (16 bits) – réservé. Rempli de zéros.

Security Parameters Index (32 bits) - index des paramètres de sécurité. La valeur de ce champ, associée à l'adresse IP du destinataire et au protocole de sécurité (en), définit de manière unique la connexion virtuelle sécurisée (SA) pour ce package. Plage de valeurs SPI 1...255 réservé par l'IANA.

Sequence Number (32 bits) - numéro séquentiel. Sert à protéger contre la retransmission. Le champ contient une valeur de paramètre qui augmente de façon monotone. Bien que le destinataire puisse refuser le service de protection contre la retransmission des paquets, il est obligatoire et est toujours présent dans l'en-tête AH. Le module de transmission IPsec utilise toujours ce champ, mais le destinataire peut ne pas le traiter.

Integrity Check Value-somme de contrôle. Doit être un multiple de 8 octets pour IPv6 et 4 octets pour IPv4.

Le protocole AH est utilisé pour l'authentification, c'est-à-dire pour confirmer que nous communiquons exactement avec qui nous supposons et que les données que nous recevons ne sont pas déformées lors de la transmission.

Titre ESP.

Lors de l'utilisation de l'encapsulation de données cryptées, l'en-tête ESP est le dernier d'une série d'en-têtes optionnels «visibles» dans le package. Étant donné que l'objectif principal de l'ESP est de garantir la confidentialité des données, différents types d'informations peuvent nécessiter des algorithmes de cryptage très différents. Pour cette raison, le format ESP peut subir des changements importants en fonction des algorithmes cryptographiques utilisés. Toutefois, vous pouvez définir les champs obligatoires suivants: SPI, qui indique le contexte de sécurité, et Sequence Number Field, qui contient le numéro séquentiel du package. Le champ «ESP Authentication Data» (somme de contrôle) n'est pas obligatoire dans l'en-tête ESP. Le destinataire du package ESP déchiffre l'en-tête ESP et utilise les paramètres et les données de l'algorithme de chiffrement utilisé pour décoder les informations de la couche de transport.

Security Parameters Index (32 bits) - index des paramètres de sécurité. La valeur de ce champ, associée à l'adresse IP du destinataire et au protocole de sécurité (en), définit de manière unique la connexion virtuelle sécurisée (SA) pour ce package. Plage de valeurs SPI 1...255 réservé par l'IANA pour une utilisation ultérieure.

Sequence Number (32 bits) - numéro séquentiel. Sert à protéger contre la retransmission. Le champ contient une valeur de paramètre qui augmente de façon monotone. Bien que le destinataire puisse refuser le service de protection contre la retransmission des paquets, il est toujours présent dans l'en-tête AH. L'expéditeur (module IPsec émetteur) doit toujours utiliser ce champ, mais le destinataire n'a peut-être pas besoin de le traiter.

Payload data (variable) – ce champ contient les données en fonction du champ «Next Header». Ce champ est obligatoire et se compose d'un nombre entier d'octets. Si l'algorithme utilisé pour chiffrer ce champ nécessite des données pour synchroniser les processus cryptographiques (par exemple, le vecteur d'initialisation est «initialization Vector»), ce champ peut contenir ces données explicitement.

Padding (0-255 octets) - Add-on. Nécessaire, par exemple, pour les algorithmes qui nécessitent que le texte en clair soit un multiple d'un certain nombre d'octets, par exemple la taille du bloc pour un chiffrement par bloc.

Pad Length ( 8 bits) - taille du complément (en octets).

Next Header (8 bits) - ce champ spécifie le type de données contenues dans le champ «Payload data».

Integrity Check Value-somme de contrôle. Doit être un multiple de 8 octets pour IPv6 et 4 octets pour IPv4.

Il existe deux modes d'application ESP et AH (ainsi que leurs combinaisons) - transport et tunnel.

Le mode transport est utilisé pour chiffrer le champ de données d'un paquet IP contenant les protocoles de couche de transport (TCP, UDP, ICMP), qui à son tour contient les informations des services d'application. Un exemple d'application du mode de transport est la transmission de courrier électronique. Tous les hôtes actifs sur la route de paquet de l'expéditeur au destinataire utilisent uniquement des informations de couche réseau ouvertes et éventuellement des en-têtes de paquet optionnels (en IPv6). L'inconvénient du mode de transport est l'absence de mécanismes permettant de masquer l'expéditeur et le destinataire spécifiques du paquet, ainsi que la possibilité d'effectuer une analyse du trafic. Le résultat de cette analyse peut être des informations sur les volumes et les directions de transmission de l'information, les domaines d'intérêt des abonnés, l'emplacement des gestionnaires.

Le mode tunnel, contrairement au mode transport, consiste à chiffrer l'ensemble du paquet, y compris l'en-tête de la couche réseau. Le mode tunnel est utilisé lorsqu'il est nécessaire de masquer l'échange d'informations de l'organisation avec le monde extérieur. Dans ce cas, les champs d'adresse d'en-tête de la couche réseau d'un package qui utilise le mode tunnel sont remplis par le pare-feu de l'organisation et ne contiennent aucune information sur l'expéditeur spécifique du package. Lorsque vous transférez des informations du monde extérieur vers le réseau local de votre organisation, l'adresse réseau du pare-feu est utilisée comme adresse de destination. Une fois l'en-tête initial de la couche réseau déchiffré par le pare-feu, le paquet est envoyé au destinataire.

Security Associations.

L'Association de sécurité (sa) est un type de connexion qui fournit des services de sécurité pour le trafic qui le traverse. Par exemple, lorsque deux Ordinateurs de chaque côté de la SA stockent le mode, le protocole, les algorithmes et les clés utilisés dans la SA, chaque SA n'est appliquée que dans une seule direction. La communication bidirectionnelle nécessite deux SA. Chaque SA implémente un mode et un protocole; par conséquent, si deux protocoles (tels que AH et ESP) doivent être utilisés pour un seul paquet, deux SA sont nécessaires.

À ce jour, le protocole IPSec prend en charge presque tous les périphériques réseau modernes. Par conséquent, je ne donnerai pas d'exemples de configuration de ce protocole pour le matériel d'un développeur particulier. Les articles précédents ne contenaient que des informations théoriques permettant de comprendre les principes du protocole. Si vous souhaitez configurer IPSec sur des modèles matériels spécifiques, vous devez utiliser la documentation fournie par le Fabricant du matériel.

Après avoir examiné les bases théoriques du fonctionnement, passons à la configuration pratique. À titre d'exemple, nous allons configurer une stratégie IPSec qui interdit toute communication via HTTP et HTTPS et utiliser Windows 7. Il convient de noter que dans le cas d'un système d'exploitation serveur Windows 2008, ils peuvent différer, mais très légèrement.

Donc, ouvrez la console MMC (icône Windows – Exécuter – mmc).

Dans le menu qui s'ouvre, vous devez sélectionner Console, puis Ajouter ou supprimer le composant logiciel enfichable. Dans la boîte de dialogue qui s'ouvre, cliquez également sur Ajouter, sélectionnez Gérer la stratégie de sécurité IP dans la liste qui s'ouvre.

Dans la boîte de dialogue de sélection de l'ordinateur qui apparaît, spécifiez l'ordinateur Local. Nous fermons successivement les fenêtres en cliquant sur Terminer, Fermer, OK. Maintenant, dans le volet gauche de la console, nous avons un nœud de Stratégie de sécurité IP sur ‘ordinateur Local’. Faites un clic droit dessus et sélectionnez Gérer les listes de filtres IP.

Dans le dialogue qui s'ouvre, cliquez sur le bouton Ajouter. Une autre fenêtre s'ouvre - la liste des filtres. Pour faciliter la navigation dans les listes de filtres à l'avenir, définissez le nom du nouveau filtre en tapant

dans le champ Nom, par exemple, Traffic_nttr_nttrs. Cliquez sur le bouton Ajouter pour commencer à créer le filtre.

Sur la deuxième page, vous pouvez spécifier une Description du filtre. Pour que vous ne soyez pas confus: un filtre peut être composé de plusieurs autres. Comme nous l'avons indiqué à l'étape précédente dans la Description de Traffic_nttr_nttrs, nous allons maintenant créer successivement deux filtres: l'un pour HTTP, l'autre pour HTTPS. Le filtre résultant combinera ces deux filtres. Donc, nous spécifions dans le champ de Description HTTP. La case à cocher Reflétée reste activée - cela permettra de propager les règles de filtre dans un sens de transfert de paquets et dans l'autre avec les mêmes paramètres. Cliquez Sur Suivant.

Vous devez maintenant spécifier l'adresse de la source des paquets IP. Comme on peut le voir sur l'image, la possibilité de choisir une adresse est assez large. Maintenant, nous indiquerons mon adresse IP et cliquerons sur Suivant. Dans la fenêtre suivante, définissez l'adresse de destination. Sélectionnez N'importe quelle adresse IP, cliquez sur Suivant. Vous devez maintenant spécifier le type de protocole. Sélectionnez TCP dans la liste. Allez-y-définissez les numéros de port.

Le commutateur supérieur laisse les Paquets de n'importe quel port dans la position, et le commutateur inférieur active le mode Paquets sur ce port et dans le champ, entrez la valeur du port HTTP-80. Cliquez sur Terminé, fermez l'Assistant. Maintenant, cliquez à nouveau sur le bouton Ajouter et effectuez à nouveau toutes les opérations précédentes, mais en spécifiant déjà la valeur du port 443 (pour HTTPS). Les deux règles de filtrage de paquets que vous avez créées doivent figurer dans la liste de la fenêtre inférieure.

Cliquez sur le bouton OK. notre Filtre est prêt, mais vous devez maintenant définir les actions qu'il produira. Passez à l'onglet Gérer les actions du filtre et cliquez sur le bouton Ajouter. La boîte de dialogue de l'Assistant s'ouvre à nouveau, cliquez sur Suivant. Nous spécifions un nom, par exemple Block, allez-Y. En tant qu'action, sélectionnez le bouton bloquer, cliquez sur Suivant et Terminé. Le filtre est créé, l'action est définie pour lui, il ne nous reste plus qu'à créer une stratégie et à l'affecter. Dans la fenêtre de la console MMC, cliquez avec le bouton droit sur le nœud Stratégies de sécurité IP et sélectionnez Créer une stratégie de sécurité IP. Dans la fenêtre de l'Assistant qui s'ouvre, cliquez sur Suivant, puis spécifiez le nom de la stratégie, par exemple Politika_nttr_nttrs, cliquez sur Suivant. Décochez la case Utiliser la règle par défaut, cliquez sur Suivant et Terminé. Dans la fenêtre des propriétés de la stratégie, cliquez sur le bouton Ajouter.

Appuyez sur Suivant, laissez l'interrupteur en position Cette règle ne définit pas le tunnel, allez-Y. Type de réseau-spécifiez Toutes les connexions réseau, cliquez sur Suivant. Vous devez maintenant sélectionner un filtre dans la liste.

Sélectionnez le filtre que nous avons créé Traffic_nttr_nttrs (un point dans le cercle devrait apparaître à gauche), cliquez sur le bouton Suivant. De la même manière, sélectionnez l'action pour le filtre - Politika_nttr_nttrs, cliquez sur Suivant et Terminé. La stratégie créée s'affiche maintenant dans le volet droit de la console MMC, avec le nom Politice_nttr_nttrs.

Tout ce qu'il reste à faire, c'est de la nommer. Pour ce faire, effectuez un clic droit sur le nom et sélectionnez la commande Attribuer. Pour vérifier, il reste à lancer le navigateur. Si tout a été fait correctement, l'image devrait être comme ça.

À la suite des actions précédentes, nous avons interdit l'utilisation du trafic Web. Maintenant, nous ajoutons un filtre qui permettra de se connecter à certains sites Internet. Par exemple, nous allons laisser le navigateur voir

node www.microsoft.com.pour ce faire, dans notre console MMC, double-cliquez sur le nom de la stratégie Politika_nttrs_nttrs. Dans la fenêtre des propriétés, cliquez sur le bouton Ajouter, puis double-cliquez sur le filtre Traffic_nttr_nttrs. Dans L'onglet liste des filtres, cliquez sur le bouton Ajouter. Spécifiez un nom pour le nouveau filtre, par exemple www.microsoft.com, cliquez sur Ajouter, Ensuite, en tant que source de paquets, laissez mon adresse IP, cliquez sur le bouton Suivant. Sélectionnez la chaîne nom DNS Spécifique comme adresse de destination et entrez le nom d'hôte dans Le champ nom d'hôte www.microsoft.com. Cliquez sur Suivant.

Vous recevez un message d'avertissement indiquant que le filtre remplace le nom DNS www.microsoft.com l'adresse IP 207.46.197.32 sera utilisée. Nous acceptons en cliquant sur le bouton Oui, puis spécifiez le type de protocole - TCP, sélectionnez le commutateur sur ce port et spécifiez son numéro - 80. Maintenant, nous définissons l'action du filtre - allez à l'onglet du même nom et sélectionnez l'option Autoriser.

Maintenant, le filtre se compose de deux filtres: l'un interdit tout le trafic http, l'autre autorise les connexions à une adresse IP spécifique.

Cet exemple montre également l'une des différences importantes entre l'application d'un pare-feu «normal» et le filtrage IPSec: l'utilisation d'IPSec ne permet pas de définir l'ordre ou la priorité du filtre. Cependant, il travaillera toujours. Il reste à fermer toutes les boîtes de dialogue et à vérifier cela.

Maintenant, lors de la transition vers www.microsoft.com (et seulement lui!) le navigateur doit afficher le contenu de ce nœud. Notez que les ressources situées sur un autre hôte (telles que les bannières publicitaires) ne sont pas affichées et sont également filtrées par la stratégie IPSec appliquée.

De la même manière, vous pouvez créer vos propres filtres et les appliquer.

Petukhov Oleg, avocat en droit international et protection des données personnelles, spécialiste de l'information sécurité, protection de l'information et des données personnelles.

Telegram Channel: https://t.me/protecciondelainformacion

Groupe au Télégramme: https://t.me/securiteinformatique2

Site: https://legascom.ru

E-mail: online@legascom.ru

#sécuritéinformations #informationsécurité

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.