Sécurité IP et système d'exploitation
Le système d'exploitation utilise la sécurité IP (IPsec), qui est une technologie de sécurité standard ouverte développée par l'Internet Engineering Task Force (IETF).
IPsec fournit une protection basée sur la cryptographie pour toutes les données de la couche IP de la pile de communications. Aucune modification n'est nécessaire pour les applications existantes. IPsec est le cadre de sécurité réseau standard choisi par l'IETF pour les environnements IP version 4 et 6.
IPsec protège votre trafic de données en utilisant les techniques cryptographiques suivantes :
- Authentification
- Processus par lequel l'identité d'un hôte ou d'un point de fin est vérifiée
- vérification d'intégrité
- Processus permettant de s'assurer qu'aucune modification n'a été apportée aux données lors du transit sur le réseau
- Chiffrement
- Processus de protection de la vie privée par "masquage" des données et des adresses IP privées pendant le transit sur le réseau
Les algorithmes d'authentification prouvent l'identité de l'expéditeur et de l'intégrité des données à l'aide d'une fonction de hachage cryptographique pour traiter un paquet de données (avec les champs d'en-tête IP fixes inclus) à l'aide d'une clé secrète pour produire un condensé unique. Côté récepteur, les données sont traitées à l'aide de la même fonction et de la même clé. Si les données ont été modifiées ou que la clé de l'expéditeur n'est pas valide, le datagramme est supprimé.
Le chiffrement utilise un algorithme de chiffrement pour modifier et randomiser les données à l'aide d'un algorithme et d'une clé pour produire des données chiffrées appelées Cyphertext. Le chiffrement rend les données illisibles pendant le transit. Une fois reçue, les données sont récupéréles à l'aide du même algorithme et de la même clé (avec des algorithmes de chiffrement symétrique). Le chiffrement doit se produire avec l'authentification pour vérifier l'intégrité des données chiffrées.
Ces services de base sont mis en oeuvre en IPsec par l'utilisation de l'Encapsulating Security Payload (ESP) et de l'En-tête d'authentification (AH). ESP assure la confidentialité en chiffrant le paquet IP d'origine, en construisant un en-tête ESP et en plaçant le cyphertext dans la charge ESP.
Le AH peut être utilisé seul pour l'authentification et le contrôle de l'intégrité si la confidentialité n'est pas un problème. Avec AH, les champs statiques de l'en-tête IP et les données ont un algorithme de hachage appliqué pour calculer un digest à clé. Le récepteur utilise sa clé pour calculer et comparer le condensé afin de s'assurer que le paquet n'est pas modifié et que l'identité de l'expéditeur est authentifiée.