Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

Ipsec et FTP

bjr à tous,
Si j'utilise IPSEC avec le protocole AH j'ai les fonctionnalités suivantes:
- intégrité en mode non connecté(UDP)
- authentification des données
- anti-rejeu
Si j'utilise FTP pour transmettre mes messages signés, FTP utilisant TCP(mode connecté) je vais perdre l'intégrité. J'aurai le même problème avec ESP qui apporte les mêmes fonctionnalités avec en plus la confidentialité.
Suis-je dans le vrai ?

Merçi
A +
Salut,

T'en as des questions sur IPsec ! 🙂

Je ne saisis pas bien ta question. Pourquoi on perdrait l'intégrité en mode connecté ?



Si on parle du mode non connecté au niveau réseau, il s'agit d'IP, par opposition au mode connecté de niveau 3 comme X.25.

IP + IPsec ne se posent pas la question de savoir ce qu'ils transportent. Si dans ta politique tu choisis d'appliquer IPsec à un trafic entre 2 sites. Ce trafic sera protégé par les mécanismes IPsec que tu auras choisi, qu'il soit transporté par UDP ou TCP.

Dans la pratique, je n'ai pas encore vu d'IPsec avec AH mais je n'ai pas beaucoup d'expérience.
Je ne saisis pas bien ta question.
C'est la description du protocole IPSEC qui dit ça ; intégrité en mode non connecté


Si on parle du mode non connecté au niveau réseau, il s'agit d'IP, par opposition au mode connecté de niveau 3 comme X.25.

IP + IPsec ne se posent pas la question de savoir ce qu'ils transportent. Si dans ta politique tu choisis d'appliquer IPsec à un trafic entre 2 sites. Ce trafic sera protégé par les mécanismes IPsec que tu auras choisi, qu'il soit transporté par UDP ou TCP.


Si avec IPSec on a deux mécanismes AH ET ESP.
AH fournit l'authenticité + intégrité
ESP la même chose + la confidentialité
MAis AH/ESP fournissent l'intégrité en mode non connecté seulement, c'est là ma question; si j'utilise FTP pour transmettre un msg signé en ayant utilisé AH ne vais je pas perdre l'intégrité car FTP utilise le mode connecté(TCP)?
J'espère avoir été clair.
Merçi pour ton aide
A +


J'ai lu ça quelque part aussi mais je ne vois pas à quoi ça correspond. Dans tous les cas, l'intégrité peut être assurée quelque soit le protocole de niveau supérieur. Grossomodo, le hash peut être appliqué dans les 2 cas.

Dans la pratique, je n'ai pas encore vu d'IPsec avec AH mais je n'ai pas beaucoup d'expérience.
Si avec IPSec on a deux mécanismes AH ET ESP.

Ce que je voulais dire c'est que dans les configurations IPsec que j'ai vues jusqu'à présent, c'était ESP qui était utilisé. C'est rare qu'on te demande de sécuriser sans confidentialité. Tu peux aussi implémenter ESP + AH mais je ne vois pas l'intérêt. Si tu as des exemples pratiques d'implémentation d'AH, je suis preneur.


J'ai lu ça quelque part aussi mais je ne vois pas à quoi ça correspond. Dans tous les cas, l'intégrité peut être assurée quelque soit le protocole de niveau supérieur. Grossomodo, le hash peut être appliqué dans les 2 cas.
[i:784d6baed6]

Dans la pratique, je n'ai pas encore vu d'IPsec avec AH mais je n'ai pas beaucoup d'expérience.
Si avec IPSec on a deux mécanismes AH ET ESP.

Ce que je voulais dire c'est que dans les configurations IPsec que j'ai vues jusqu'à présent, c'était ESP qui était utilisé. C'est rare qu'on te demande de sécuriser sans confidentialité. Tu peux aussi implémenter ESP + AH mais je ne vois pas l'intérêt. Si tu as des exemples pratiques d'implémentation d'AH, je suis preneur.
Non j'ai pas d'exemple préçis, mais revenons à nos moutons...tu es d'accord que si j'utilise AH et que je transmet mes messages signés par FTP utilisant TCP (mode connecté) je risque ou je vais perdre l'intégrité, c'est vrai ma question est un peu compliquée voire abstraite ... voiçi un extrait d'un cours sur la sécurité informatique vu sur le net :

"intégrité
-machines (tamper-résistance, tamper-proofness, exécution sécurisée...)
-données (avec possibilité de récupération)
-flux :
mode orienté-connexion (ensemble de l'échange, comme TCP)
intégrité de séquences partielles (VoIP, applications, etc... permet d'éviter les DoS par exemple) "
A +
De mon point de vue, que tu transportes du TCP ou de l'UDP, tu ne perds pas l'intégrité. Tu peux me passer le lien vers le cours que tu as lu ?


bsr voiçi le lien :

http://www.securiteinfo.com/cryptographie/IPSec.shtml
SLT
A mon avis il faut décorréler l'article sur IPsec et l'introduction à la sécurité.

Dans l'article "Introduction et initiation à la Sécurité Informatique". L'auteur parle d'intégrité au sens large et de modes connecté et non connecté au sens large ; TCP et UDP étant les exemples les plus connus. Mais ces deux derniers ne conernent que la couche 4. Il faut tenir compte du fait que la notion de connexion s'applique à plusieurs niveaux du modèle OSI. Ex :

- niveau 2 : ATM / Ethernet
- niveau 3 : X.25 / IP
- niveau 4 : TCP / UDP

IPsec est constitué d'un ensemble de protocoles qui fonctionnent couplés avec IP, donc en mode non connecté et peut transporter des protocoles qui fonctionnent à leur tour en mode connecté ou non.

C'est le propre du modèle OSI, qui permet une abstraction des niveaux supérieurs et inférieurs.

D'après ce que j'ai compris, l'auteur voudrait dire par "intégrité en mode non connecté" que l'intégrité est vérifiée sur chaque datagramme IP. Pas de vérification de l'ordre ou des pertes ; qui désignerait un mode connecté.

L'auteur a laissé son adresse mail en bas de l'article si tu veux en être sûr.

A+

Bsr, je viens de lui envoyer un mail lui demandant simplement quand j'utilise AH :

"Est-ce que cela veut dire que l'intégrité est fournit seulement si j'utilise UDP(non connecté) ?"

Voilà espérons que j'aurai une réponse. A bientôt