IPsec (Internet Protocol Security), défini par l’IETF comme un cadre de standards ouverts pour assurer des communications privées et protégées sur des réseaux IP, par l’utilisation des services de sécurité cryptographiques, est un ensemble de protocoles utilisant des algorithmes permettant le transport de données sécurisées sur un réseau IP. IPSec se différencie des standards de sécurité antérieurs en n’étant pas limité à une seule méthode d’authentification ou d’algorithme et c’est la raison pour laquelle il est considéré comme un cadre de standards ouverts. De plus IPSec opère à la couche réseau (couche 3 du modèle OSI) contrairement aux standards antérieurs qui opéraient à la couche application (couche 7 du modèle OSI), ce qui le rend indépendant des applications, et veut dire que les utilisateurs n’ont pas besoin de configurer chaque application aux standards IPSec.

Réalisée dans le but de fonctionner avec le protocole IPv6, la suite de protocoles IPsec fut adaptée pour l’actuel protocole IP (IPv4).
Son objectif est d’authentifier et de chiffrer les données : le flux ne pourra être compréhensible que par le destinataire final (chiffrement) et la modification des données par des intermédiaires ne pourra être possible (intégrité).
IPsec est souvent un composant de VPN, il est à l’origine de son aspect sécurité (canal sécurisé ou tunneling).
La mise en place d’une architecture sécurisée à base d’IPsec est détaillée dans la RFC 4301 (la RFC 2401 est obsolète).

Lors de l’établissement d’une connexion IPsec, plusieurs opérations sont effectuées :

Échange des clés

• un canal d’échange de clés, sur une connexion UDP depuis et vers le port 500 (ISAKMP pour Internet Security Association and Key Management Protocol), défini dans la RFC 2408 (la RFC 2408 est obsolète et remplacée par la RFC 4306).

Le protocole IKE (Internet Key Exchange) est chargé de négocier la connexion. Avant qu’une transmission IPSec puisse être possible, IKE est utilisé pour authentifier les deux extrémités d’un tunnel sécurisé en échangeant des clés partagées. Ce protocole permet deux types d’authentifications, PSK (Pre-Shared Key ou secret partagé) pour la génération de clefs de sessions ou à l’aide de certificats/signatures RSA. Une signature est un certificat signé par une tierce-partie appelée Autorité de certification (AC ou CA) qui offre l’Authentification et la Non-répudiation. Sans cette signature, une partie peut simplement nier la responsabilité de messages envoyés.

Sachant que l’usage de la cryptographie asymétrique (clés publiques) peut être utilisé avec IPSec, il ne permet pas la Non-répudiation. IPSec utilise une association de sécurité (Security association) pour dicter comment les parties vont faire usage de AH et de l’encapsulation de la charge utile d’un paquet.

• Une association de sécurité (SA) est l’établissement d’information de sécurité partagée entre deux entités de réseau pour soutenir la communication protégée. Une SA peut être établie par une intervention manuelle ou par ISAKMP (Internet Security Association and Key Management Protocol).

• ISAKMP est défini dans la RFC 2408 comme un cadre pour établir, négocier, modifier et supprimer des SA entre deux parties. En centralisant la gestion des SA, ISAKMP réduit la quantité de fonctionnalité reproduite dans chaque protocole de sécurité. ISAKMP réduit également le nombre d’heures exigé par l’installation de communications, en négociant tous les services simultanément.

Transfert des données

un ou plusieurs canaux de données par lesquels le trafic du réseau privé est véhiculé, deux protocoles sont possibles :

• le protocole no 51, AH, (Authentication Header), défini dans la RFC 2402 (remplacée par les RFC 4303 et RFC 4305) et qui fournit l’intégrité et l’authentification. AH authentifie les paquets en les signant, ce qui assure l’intégrité de l’information. Une signature unique est créée pour chaque paquet envoyé et empêche que l’information soit modifiée.

• le protocole no 50, ESP (Encapsulating Security Payload), défini dans la RFC 2406 (remplacée par les RFC 4303 et RFC 4305) qui fournit également l’intégrité mais aussi la confidentialité par l’entremise de la cryptographie.

Indépendamment des deux protocoles possibles AH/ESP, deux modes sont possibles, tunnel ou transport :

• Dans le cadre du mode transport, Si l’on ne veut sécuriser que les données, on va choisir d’utiliser le mode transport. Il est généralement utilisé pour acheminer les données de type Host-to-Host. On peut choisir le protocole AH, ESP ou les deux.

• Dans le cadre du mode tunnel, IPsec crée un tunnel pour la communication entre deux machines pour bien sécuriser les données. Le mode tunnel est très utilisé par le protocole IPsec dans le réseau de type LAN-to-LAN car il offre une protection contre l’analyse de trafic, les adresses de la source et l’adresse de destinataire sont toutes masquées. On doit choisir entre le protocole AH ou ESP. Ce mode crée un nouveau paquet IP encapsulant celui qui doit être transporté.

Dans les réseaux informatiques et les télécommunications, MultiProtocol Label Switching (MPLS) est un mécanisme de transport de données, opérant sur la couche de liaison de données du modèle OSI, donc en dessous des protocoles comme IP. Il a été conçu pour fournir un service unifié de transport de données pour les clients en utilisant une technique de commutation de paquets. MPLS peut être utilisé pour transporter pratiquement tout type de trafic, par exemple la voix ou des paquets IP.

Deux groupes de travail ont été désignés par l’IETF pour combler les lacunes d’IP. Un groupe de sécurité travaillant sur l’IPSec et l’autre sur le routage travaillant sur MPLS. Comme son acronyme l’indique (MPLS) ses caractéristiques sont:

• multiprotocol (multi-protocoles) : il est capable de supporter les différents protocoles de niveau inférieur, au sens OSI (ATM, Frame relay …)
• label switching (commutation d’étiquettes) : il se base sur une étiquette (en anglais : label) ou identifiant pour la commutation des paquets. Cette étiquette est attribuée aux paquets par l’équipement PE (Provider Edge) lors de leur entrée dans l’infrastructure MPLS.

MPLS fonctionne par commutation d’étiquettes. Des chemins entre PE (Provider Edge) sont établis de façon manuelle (action d’un administrateur dans le plan d’administration) ou automatique (via un protocole de signalisation comme LDP – Label Distribution Protocol – dans le plan de contrôle).

Un chemin MPLS étant toujours unidirectionnel, on fait la différence en MPLS entre les routeurs d’entrée (PE ou iLSR – ingress Label Switch Router -), de transit (P-router pour Provider router), et de sortie (PE ou eLSR – egress Label Switch Router -).

Le routeur d’entrée a pour rôle d’encapsuler le trafic reçu sur ses interfaces « clients ». Il applique (au moins) une étiquette au paquet reçu et l’envoie vers une de ses interfaces sortantes. Pour créer l’étiquette, le routeur utilise les FEC (Forwarding Equivalence Class), qui sont des tables de correspondances dont les clefs sont un élément du paquet (adresse MAC, adresse IP, Class of Service, port TCP/UDP, etc.).

Le paquet atteint ensuite des commutateurs de transit (P-router). Ceux-ci possèdent une table de commutation comportant quatre entrées :

Deux clefs :

• interface d’entrée du paquet
• étiquette MPLS en entrée

Deux valeurs :

• étiquette MPLS de sortie (ou retrait du label)
• interface de sortie du paquet

L’opération de commutation est donc extrêmement simple, puisqu’il suffit d’analyser l’étiquette MPLS qui se trouve directement après l’en-tête de la trame de niveau 2 (Ethernet), ou dans l’équivalent de la cellule/trame de niveau 2 (VPI/VCI de l’ATM, DLCI du Frame Relay, etc.). Il n’est donc pas nécessaire d’extraire le paquet IP et de parcourir l’ensemble de la table de routage. Toutefois, si cet argument était à l’origine de la création de MPLS, il a perdu beaucoup de poids, car l’augmentation de la puissance des routeurs et l’avènement de nouvelles puces dédiées permettent largement de parcourir la table de routage IP à chaque nouveau paquet. Ce sont donc les autres possibilités attribuées à MPLS qui en font une technique de plus en plus utilisée.

Si la configuration manuelle est toujours possible, elle s’avère très fastidieuse pour l’administrateur, c’est pourquoi la plupart du temps un protocole de signalisation est utilisé pour établir la connexion, c’est-à-dire les chemins MPLS (LSP, Label Switched Path). LDP, norme IETF, est le principal utilisé, mais d’autres protocoles pré-existants ont été étendus (cas de OSPF dit OSPF-TE) ou modifiés (cas de RSVP). Il ne faut en effet pas confondre le RSVP initial, de bout en bout, et le RSVP-TE modifié pour les environnements MPLS, entre PE donc.

Contrairement à IP, MPLS n’est pas un protocole de bout en bout. Il définit seulement une façon d’encapsuler des protocoles de couche 3 (IPv4 comme IPv6), de couche 2 (Ethernet, PPP, ATM, FR entre autres), et même de couche 1 (PDH, SDH). Il ne faut pas confondre ces protocoles encapsulés, donc transportés par MPLS, avec les protocoles inférieurs (dits de niveau 2) qui permettent de transporter MPLS. Cet ensemble peut paraître confus puisqu’un même protocole peut en même temps être transporté par et transporter MPLS : ainsi des cellules ATM arrivant sur des PE pourront être encapsulées par des PE MPLS reliés à des P-routeurs en ATM !

Asynchronous Transfer Mode ou ATM (traduit en français par « Mode de transfert asynchrone ») est un protocole réseau de niveau 2 à commutation de cellules, qui a pour objectif de multiplexer différents flots de données sur un même lien utilisant une technique de type TDM ou MRF (multiplexage à répartition dans le temps)

ATM a été conçu pour fournir un standard réseau unifié qui pourrait supporter un trafic réseau synchrone (SDH), aussi bien qu’un trafic utilisant des paquets (IP,relais de trames, etc.) tout en supportant plusieurs niveaux de qualité de service (QdS).

ATM est un protocole asynchrone, s’appuyant fréquemment sur une couche de transport synchrone. C’est-à-dire que les cellules ATM sont envoyées de manière asynchrone, en fonction des données à transmettre, mais sont insérées dans le flux de données synchrones d’un protocole de niveau inférieur pour leur transport.

Les cellules ATM sont des segments de données de taille fixe de 53 octets (48 octets de charge utile et 5 octets d’en-tête), à la différence de paquets de longueur variable, utilisés dans des protocoles du type IP ou Ethernet.

La commutation de cellules allie la simplicité de la commutation de circuits et la flexibilité de la commutation de paquets. Un circuit virtuel est établi soit par configuration des équipements, soit par signalisation, et l’ensemble des cellules seront commutées sur ce même circuit virtuel par commutation de labels. En particulier, le chemin utilisé dans le réseau ne varie pas au cours du temps puisqu’il est déterminé lors de l’établissement du circuit virtuel.

Les labels permettant la commutation des cellules sont portés dans l’en-tête de chaque cellule.

Beaucoup de sociétés de télécommunications ont mis en place de grands réseaux ATM et beaucoup d’implémentations DSL utilisent ATM. Cependant ATM a échoué à être largement répandu en tant que technologie LAN et sa grande complexité a été un obstacle à son développement en tant que technologie réseau intégrative comme ses inventeurs l’avaient imaginé…

La plupart des bonnes idées d’ATM ont été reprises dans MPLS, un protocole de niveau 2 de commutation de labels (label switching). MPLS apporte la possibilité de transmettre des paquets de longueur variable, mais il n’atteint pas le même niveau de définition et de garantie de qualité de service (QdS) que l’ATM.

ATM est utile et largement déployé comme couche de multiplexage dans les réseaux DSL, où ses compromis correspondent bien aux besoins de cette application. Il est aussi utilisé aujourd’hui dans les interconnexions à haute vitesse pour combiner le trafic PDH/SDH et le trafic de paquets dans une architecture simple.

READSL est une variante de l’ADSL qui permet d’étendre la portée maximum de 3 à 5, voire 8 km environ, avec un débit très correct de 512 kbit/s.
C’est avec le WiMax, l’une des technologies envisagées pour relier les habitations trop éloignées des centraux.
Son principe est d’augmenter l’énergie dans le bas du spectre des fréquences. Elle pourrait être mise en place parallèlement à l’ADSL2+.

L’ADSL2 ou G.992.3 est une évolution de la technologie ADSL qui permet de passer d’une vitesse maximum de 8 Mbit/s à 10 Mbit/s. Il améliore surtout la distance maximale et la fiabilité du signal et diminue le temps d’initialisation de la liaison ainsi que la consommation.
L’ADSL2+ utilise une fréquence double de l’ADSL et de l’ADSL2 (2200 KHz au lieu de 1100 KHz). Il reprend les mêmes qualités mais double la vitesse en entrée.
Le gain pour le client étant faible avec l’ADSL2, c’est plutôt l’ADSL2+, qui devrait se développer et justifier le remplacement des modems.
Normalement, l’offre ADSL2+ sera généralisée sur l’ensemble du réseau national haut débit de France Télécom avant la fin du premier semestre 2005 pour être proposée à tous les utilisateurs.

Les technologies de DSL symétrique offrent un même débit en entrée qu’en sortie. Leurs utilisations sont multiples :

• liaisons entre sites distants,
• raccordement de serveurs Internet,
• remplacement économique de lignes louées,
• lignes de secours.

Le SDSL (Symmetric DSL) désigne plusieurs technologies symétriques propriétaires dont les débits varient de 128kbps à 8Mbps. Elles sont mises en œuvres par les opérateurs dans leurs offres WAN.
Le SHDSL (Symmetric High bitrate DSL) ou G.shdsl correspond à la norme internationale UIT G.991.2 de DSL symétrique à haut débit (192kbps à 8Mbps) et devrait remplacer les SDSL.
Contrairement à l’ADSL, le SHDSL ne réserve pas une partie de la bande passante pour le transport de la voix téléphonique. Aussi les transmissions de voix par ligne SHDSL doivent se faire au moyen de ToDSL (Telephony over DSL).

VDSL (Very high bitrate DSL)

Le VDSL permet d’obtenir des vitesses élevées (jusqu’à 52 Mb/s) sur des distances courtes (50 mètres maximum). On l’utilise notamment pour les liaisons FTTC (liaisons opérateurs).
Il est proposé par le Full Service-VDSL Committee.

G.lite, splitterless ADSL, ADSL simplifié

Le G.lite est un ADSL à vitesse réduite et à faible coût utilisé dans certains pays. Il correspond à la norme G.992.2..
Ne nécessitant pas de filtre (splitterles), son usage est donc simplifié. Avec l’apparition des filtres gigognes et les besoins de débits importants, notamment pour la télévision, le G.lite a perdu de son intérêt. Une nouvelle version plus rapide est toutefois prévue, le G.992.4 ou G.lite bis ou splitterles ADSL2.

L’ADSL est la solution DSL de loin la plus employée.
Elle permet le transport des communications téléphoniques classiques (POTS) ainsi que des communications numériques résidentielles (Internet, télévision numérique…). Elle se caractérise principalement par des débits différents suivant que l’abonné effectue un :

• download : c’est-à-dire qu’il reçoit des données depuis Internet,
• upload : c’est-à-dire qu’il envoie des données vers Internet, dans ce cas, la vitesse est généralement 4 fois plus faible.

n effet, lorsqu’un particulier ou un professionnel consulte un site Internet ou regarde la télévision numérique, il reçoit beaucoup d’informations et en envoi très peu. L’asymétrie des voies de transport est donc parfaitement légitime.
Cette disposition n’est plus pertinente lorsque l’abonné est appelé à envoyer lui-même un gros volume de données ; c’est le cas, par exemple, lorsque l’on héberge un site Internet, ou pour des liaisons entre locaux distants. Dans ce cas, il convient d’examiner les offres SDSL, voire de lignes louées.
En France, l’ADSL est la solution principale de raccordement des foyers.

Les technologies DSL ont des caractéristiques communes bien particulières :

• utilisation du raccordement téléphonique fixe de l’abonné (le subscriber),
• utilisation de la portion de bande passante laissée libre par les transmissions téléphoniques classiques, peu gourmandes,
• distance exploitable limitée (2 à 3 km maximum entre la prise de l’abonné et le central,
• faible coût d’usage, principalement en raison de l’utilisation du raccordement de l’abonné déjà existant.

Il existe plusieurs standards présentés ici, et répondant aux critères DSL : ADSL, SDSL, VDSL pour les principales. On les désigne donc souvent sous le terme générique xDSL.
En France, la bonne qualité du réseau téléphonique et la présence d’un opérateur unique puissant jusque-là font de l’ADSL et des xDSL un moyen privilégié de connecter simplement particuliers et entreprises à l’Internet.