en-tête d'authentification

Méthodes d'utilisation de AH

Vous pouvez appliquer AH de deux manières: en mode transport ou en mode tunnel. En mode transport, l'en-tête IP du datagramme est l'en-tête IP le plus externe, suivi de l'en-tête AH, puis de la charge utile du datagramme. AH authentifie l'intégralité du datagramme, à l'exception des zones modifiables. Toutefois, les informations contenues dans le datagramme sont transportées en clair et sont, par conséquent, sujettes à des écoutes clandestines. Le mode de transport nécessite moins de temps système de traitement que le mode tunnel, mais ne fournit pas autant de sécurité.

Le mode tunnel crée un nouvel en-tête IP et l'utilise comme en-tête IP le plus externe du datagramme. L'en-tête AH suit le nouvel en-tête IP. Le datagramme d'origine (en-tête IP et contenu d'origine) arrive en dernier. AH authentifie l'intégralité du datagramme, ce qui signifie que le système répondant peut détecter si le datagramme a changé pendant le transit.

Lorsque l'une des extrémités d'une association de sécurité est une passerelle, utilisez le mode tunnel. En mode tunnel, les adresses source et de destination de l'en-tête IP le plus externe n'ont pas besoin d'être identiques à celles de l'en-tête IP d'origine. Par exemple, deux passerelles de sécurité peuvent utiliser un tunnel AH pour authentifier tout le trafic entre les réseaux qu'elles connectent ensemble. En fait, il s'agit d'une configuration très typique.

Le principal avantage de l'utilisation du mode tunnel est que le mode tunnel protège totalement le datagramme IP encapsulé. De plus, le mode tunnel permet d'utiliser des adresses privées.

Pourquoi?

Dans de nombreux cas, vos données ne nécessitent qu'une authentification. Bien que le protocole ESP (Encapsulating Security Payload) puisse effectuer l'authentification, AH n'affecte pas les performances de votre système, tout comme ESP. Un autre avantage de l'utilisation de AH, est que AH authentifie l'intégralité du datagramme. ESP, cependant, n'authentifie pas l'en-tête IP de début ou toute autre information qui précède l'en-tête ESP.

De plus, ESP nécessite des algorithmes de cryptographie puissants pour être mis en oeuvre. La cryptographie forte est limitée dans certaines régions, tandis que l'AH n'est pas réglementée et peut être utilisée librement dans le monde entier.

Utilisation d'ESN avec AH

Si vous utilisez le protocole AH, vous pouvez activer le numéro de séquence étendu (ESN). ESN vous permet de transmettre de grands volumes de données à une vitesse élevée avec une nouvelle clé. La connexion VPN utilise des numéros de séquence 64 bits au lieu de numéros 32 bits sur IPSec. L'utilisation de numéros de séquence 64 bits permet de disposer de plus de temps avant de procéder à une nouvelle clé, ce qui permet d'éviter l'épuisement des numéros de séquence et de réduire l'utilisation des ressources système.

Quels algorithmes AH utilise-t-elle pour protéger mes informations?

AH utilise des algorithmes appelés codes d'authentification de message haché (HMAC). Plus spécifiquement, le VPN utilise HMAC-MD5, HMAC-SHA ou AES-XCBC-MAC. Chacun des algorithmes prend des données d'entrée de longueur variable et une clé secrète pour produire des données de sortie de longueur fixe (appelées hachage ou valeur MAC). Si les hachages de deux messages correspondent, il est probable que les messages soient identiques.

L'Internet Engineering Task Force (IETF) définit formellement les algorithmes dans la demande de commentaires (RFC) suivante:

• HMAC-MD5 dans RFC 2085, HMAC-MD5 IP Authentication with Replay Prevention
• HMAC-SHA dans RFC 2404, Utilisation de HMAC-SHA-1-96 dans ESP et AH
• AES-XCBC-MAC dans RFC 3566, L'algorithme AES-XCBC-MAC-96 et son utilisation avec IPsec

Vous pouvez afficher ces RFC sur Internet à l'adresse suivante: http://www.rfc-editor.org.