Nous utilisons des cookies pour améliorer votre expérience. En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies.


Politique de confidentialité

Protocole AH pour IPv4 et IPv6

 

Protocole AH pour IPv4 et IPv6

L'AH prend en charge l'intégrité des données et l'authentification des paquets IP. L'authentification est effectuée en calculant un code d'authentification de message cryptographique basé sur le hachage sur presque tous les champs des paquets IP. Le champ d'intégrité des données garantit qu'une modification non détectée du contenu d'un paquet en transit n'est pas possible. La fonction d'authentification permet à un système final ou à des périphériques réseau d'authentifier l'utilisateur ou l'application et de filtrer le trafic en conséquence ; il empêche également les attaques d'usurpation d'adresse observées sur Internet. Le format de trame d'IPsec AH est illustré dans la figure ci-dessous. L'AH contient cinq champs avec des données d'authentification et il est injecté entre l'en-tête IP d'origine et la charge utile.

  •  En-tête suivant. (8 bits) : Ceci identifie les types d'en-tête qui suivent immédiatement cet en-tête.
  •  Longueur de la charge utile (8 bits) : Définit la longueur en mots de 32 bits de l'ensemble de l'en-tête AH moins deux mots. Par exemple : La longueur par défaut du champ de données d'authentification est de 96 bits, soit trois mots de 32 bits, avec un en-tête fixe de trois mots ; il y a au total six mots dans l'en-tête et le champ de longueur de la charge utile a une valeur de 4.
  •  Réservé (16 bits) : Ce champ est réservé pour une utilisation future et doit être égal à zéro. 
  •  SPI (Security Parameter Index - 32 bits) : C'est un champ de valeur 32 bits qui identifie l'association de sécurité (SA) pour ce datagramme, par rapport à l'adresse IP de destination contenue dans l'en-tête IP.
  •  Numéro de séquence (32 bits) : Il s'agit d'un identifiant à croissance monotone qui est utilisé pour aider à la protection anti-repli. Cette valeur est incluse dans les données d'authentification, de sorte que toute modification (pendant le transit) est détectée.
  •  Données d'authentification (variable) : il s'agit de la valeur de contrôle d'intégrité calculée sur l'ensemble du paquet. Il comprend la plupart des en-têtes. Le destinataire recalcule le même hachage. Une valeur non concordante lors de la comparaison marque le paquet comme étant soit endommagé en transit, soit n'ayant pas la clé secrète appropriée. Ceux-ci sont rejetés.

L'en-tête AH peut être utilisé en mode transport ou en mode tunnel. En mode transport, l'en-tête AH est ajouté avant l'en-tête IP d'un datagramme IP et n'est utilisé que pour la mise en œuvre de bout en bout. La raison en est que seuls les protocoles de couche supérieure et les champs d'en-tête IP sélectionnés sont protégés. En mode transport, l'en-tête AH est inséré après l'en-tête IP et avant un protocole de couche supérieure (mais avant d'autres en-têtes IPsec tels que l'en-tête ESP si cet en-tête est déjà inséré avant le protocole de couche supérieure). Pour la mise en œuvre de la sécurité de la passerelle, le mode tunnel est requis. Dans ce cas, l'en-tête AH protège l'intégralité du paquet IP interne, y compris l'intégralité de l'en-tête IP.

L'AH fonctionne selon les étapes suivantes :

  1. L'en-tête IP et la charge utile des données sont hachés.
  2. Le hachage est utilisé pour créer un nouvel en-tête AH, qui est ajouté au paquet d'origine.
  3. Le nouveau paquet est transmis au routeur homologue IPsec.
  4. Le routeur homologue hache l'en-tête IP et la charge utile des données, extrait le hachage transmis de l'en-tête AH et compare les deux hachages. Les hachages doivent correspondre exactement. Même si un bit est modifié dans le paquet transmis, la sortie de hachage sur le paquet reçu changera et l'AH ne correspondra pas.

IPv4 AH

IPv6 AH

Dans la version IPv6 du protocole Internet, l'en-tête d'authentification est inséré dans le datagramme IP en tant qu'en-tête d'extension, en suivant les règles IPv6 normales pour la liaison d'en-tête d'extension. Il est lié par l'en-tête précédent (extension ou principal), en mettant dans son champ d'en-tête suivant la valeur attribuée à l'en-tête. L'en-tête AH est ensuite lié à l'en-tête d'extension suivant ou à l'en-tête de couche de transport en utilisant le champ d'en-tête suivant.

Lorsque AH est appliqué en mode transport, il est simplement ajouté comme un nouvel en-tête d'extension qui se situe entre l'en-tête d'extension de routage et l'en-tête d'option de destination.

En mode tunnel, elle apparaît comme un en-tête d'extension du nouveau datagramme IP qui encapsule le datagramme original en cours de tunnelisation. L'ensemble du datagramme est encapsulé dans le nouveau datagramme IPv6 qui contient l'AH.

Partager ce cours avec tes amis :
Rédigé par ESSADDOUKI Mostafa
ESSADDOUKI
The education of the 21st century opens up opportunities to not merely teach, but to coach, mentor, nurture and inspire.