Remarques sur le tunnel

Editer en ligne

Vous devriez envisager plusieurs choses avant de décider quel type de tunnel utiliser pour la sécurité IP.

Les tunnels IKE diffèrent des tunnels manuels, car la configuration des règles de sécurité est un processus distinct de la définition des points finaux de tunnel.

En IKE, il y a un processus de négociation en deux étapes. Chaque étape du processus de négociation est appelée phase et chaque phase peut avoir des règles de sécurité distinctes.

Lorsque la négociation de clé Internet commence, elle doit mettre en place un canal sûr pour les négociations. Il s'agit de la phase gestion des clés ou phase 1. Au cours de cette phase, chaque partie utilise des clés pré-partagées ou des certificats numériques pour authentifier les autres informations et transmettre les informations d'ID. Cette phase met en place une association de sécurité au cours de laquelle les deux parties déterminent comment elles prévoient communiquer en toute sécurité et ensuite quelles protections doivent être utilisées pour communiquer au cours de la seconde phase. Le résultat de cette phase est un tunnel IKE ou phase 1.

La seconde phase est connue sous le nom de phase gestion des données ou phase 2 et utilise le tunnel IKE pour créer les associations de sécurité pour AH et ESP qui protègent réellement le trafic. La seconde phase détermine également les données qui vont utiliser le tunnel de sécurité IP. Par exemple, il peut spécifier les éléments suivants :

  • Un masque de sous-réseau
  • Une plage d'adresses
  • Combinaison de protocole et de numéro de port
Figure 1 : Processus de configuration du tunnel IKE
Cette illustration montre le processus en deux étapes, en deux phases, pour la configuration d'un tunnel IKE.
Remarque: IKEv2 comporte également deux phases. La première phase est connue sous le nom de phase IKE SA ou phase 1. La seconde phase est connue sous le nom de phase CHILD SA ou phase 2. Contrairement à la façon dont les tunnels sont établis dans IKEv1, lorsqu'un tunnel de phase 1 est établi dans IKEv2, un tunnel de phase 2 est automatiquement activé. La configuration des tunnels IKEv2 est similaire à la configuration des tunnels IKEv1.

Dans de nombreux cas, les points finaux du tunnel de gestion des clés (IKE) seront les mêmes que ceux du tunnel de gestion des données (sécurité IP). Les points finaux de tunnel IKE sont les ID des machines effectuant la négociation. Les points finaux de tunnel de sécurité IP décrivent le type de trafic qui utilisera le tunnel de sécurité IP. Pour les tunnels d'hôte à hôte simples, dans lesquels tout le trafic entre deux tunnels est protégé par le même tunnel, les points finaux de phase 1 et de phase 2 sont identiques. Lorsque les parties à la négociation sont deux passerelles, les points finaux de tunnel IKE sont les deux passerelles, et les points finaux de tunnel de sécurité IP sont les machines ou les sous-réseaux (derrière les passerelles) ou la plage d'adresses (derrière les passerelles) des utilisateurs du tunnel.