Discussion :

[SuperColver]

Bonjour,

j'aimerais comprendre pourquoi il n'est pas possible de sécuriser du multicast avec IPsec mode transport (ESP+Auth) sur un WAN. Avec IPsec mode transport AH, on ne peut pas car AH ne supporte pas le NAT. Mais pourquoi utiliser du tunneling plutot que du transport ESP?

Merci d'avance pour un éclaircissement

Je viens de trouver ceci dans la RFC 4301 : (désolé pour le copié/collé un peu long...)

"
To clarify, the use of
transport mode by an intermediate system (e.g., a security gateway)
is permitted only when applied to packets whose source address (for
outbound packets) or destination address (for inbound packets) is an
address belonging to the intermediate system itself. The access
control functions that are an important part of IPsec are
significantly limited in this context, as they cannot be applied to
the end-to-end headers of the packets that traverse a transport mode
SA used in this fashion. Thus, this way of using transport mode
should be evaluated carefully before being employed in a specific
context.
"

En gros pour le mode transport il faut que la gateway soit dans la mème machine que le sender ou le receiver ?Oo Je ne comprend pas bien...

Si quelqu'un arrive à comprendre mieu que moi j'en serais ravis. Merci d'avance pour vos réponses.

[Cybher]

salut,

il faudra voir le contexte mais est ce que cela ne veut simplement pas dire qu'il doit être dans le même réseau?

[SuperColver]

Salut,

Effectivement, il faut que les différents matériels soient dans le même réseau pour le mode transport. Mais je ne comprend pas du tout la différence entre le mode transport (IPsec dans un même réseau) et le mode Tunnel et préservation de l'entête (IPsec entre plusieurs réseaux)

Voici une trame transport :
IPHeader | ESP | Payload

Voici une trame tunnel :
IPHeader | ESP | IPHeader | Payload

Pour moi il n'y a aucune différence si ce n'est un gaspillage d'octets pour le mode tunnel... En tout cas les specs d'IPsec nous disent que le mode transport n'est pas supporté pour une connexion routeur-to-routeur.

Merci pour la réponse en tout cas.

A+

[thierry.chich]

Ben non, ce n'est pas un gaspillage. Une des utilisations importantes d'IPSEC, c'est de permettre à deux réseaux privés de se causer. Par exemple, deux réseaux dans le RFC 1918 ne pourront pas se causer directement. Il faudra faire du NAT, mais ça va vite devenir compliqué si toutes les machines des deux réseaux doivent pouvoir se causer.
En faisant un tunnel, on fait passer les datagrammes ip d'un réseau à l'autre sans modification, car tout est encapsulé dans l'IPSEC.
On peut faire la même chose avec GRE, mais dans ce cas, on n'a pas l'encryption et l'authentification fournie par IPSEC.

[SuperColver]

Oui je suis tout à fait d'accord, pour relier 2 réseaux privés, et qui plus est s'il y a du NAT, il faut utiliser un tunnel IPsec. Mais le 'tunnel ipsec avec préservation d'IP' dont je parle encapsule une IP avec la meme IP et donc ne supporte pas le NAT par exemple (c'est utilisé par Cisco dans les réseau MPLS). Autre exemple : c'est utilisé pour des communications multicast entre 2 réseaux différents.