IPSec offre des protections basées sur des choix définis dans une base de données de politique de sécurité (Security Policy Databas, SPD) établie par l'administrateur de la connexion. Elle permet de décider, pour chaque paquet, s'il doit être sécurisé ou autorisé à passer outre ou rejeté.
Les services de sécurité sont basés sur des mécanismes cryptographiques. IPSec met en jeu deux protocoles en complément du protocole IP classique : AH et ESP. Ce sont deux types d'encapsulation différents même si ESP reprend la plupart des principes d'AH et ajoute notamment des services de confidentialité.
Par ailleurs, IPSec offre un service supplémentaire de cryptographie (chiffrement en mode Fast Forward) permettant de conserver des performances optimales en conservant des paquets de même taille. Néanmoins, ce mode garantie uniquement la confidentialité : L'en-tête IP et la longueur du datagramme restent les mêmes (le champ d'options IP peut être chiffré).
Les associations de sécurité contiennent toutes les données de sécurité nécessaires à un échange avec IPSec, notamment les algorithmes et les clés. Une SA peut être configurée manuellement mais la plupart des configuration utilisent un protocole de négociation dynamique des SA et d'échange des clés de session.
C'est le protocole IKE (Internet Key Exchange) association du protocole de gestion des clés et des associations de sécurité pour Internet (ISAKMP cadre générique permettant l'utilisation de plusieurs protocoles d'échange de clé) et d'une partie des protocoles SKEME et Oakley.
root
2004-05-04
