Qu’est-ce qu’IPsec et comment ça marche ?
IPsec est un cadre de techniques utilisé poursécuriser la connexion entre deux points. Il signifie Internet Protocol Security et est le plus fréquemment utilisé dans les VPN. Cela peut être quelque peu complexe, mais c'est une option utile pour sécuriser les connexions dans certaines situations.
Ce guide décompose IPsec en morceaux simples, vous donnant une introduction qui couvre ce qu'est le protocole, comment il fonctionne et certains de ses problèmes de sécurité potentiels.
IPsec : un aperçu
IPsec a été initialement développé parce que le protocole Internet le plus courant, IPv4, ne comporte pas beaucoup de dispositions de sécurité.Les données transmises sur IPv4 peuvent facilement être interceptées, modifiées ou arrêtées, ce qui en fait un système médiocre pour toutes les transmissions importantes.
Un nouvel ensemble de normes était nécessaire pour protéger les informations. IPsec a comblé cette lacune en agissant comme un cadre capable d'authentifier les connexions, ainsi que de prouver l'intégrité des données et de les rendre confidentielles.IPsec est un standard ouvert qui agit au niveau du réseau.Il peut être utilisé pour transférer en toute sécurité des données d'hôte à hôte, de réseau à réseau ou entre un réseau et un hôte.
IPsec est le plus souvent utilisé pour sécuriser le trafic qui transite via IPv4. Initialement, il était également nécessaire que le nouveau protocole Internet, IPv6, prenne en charge IPsec. Malgré cela, il ne s’agit désormais que d’une recommandation et n’est pas appliquée.
En tant que framework, IPsec il est composé de trois éléments principaux. Les deux premiers sont les protocoles,Encapsulation de la charge utile de sécurité (ESP) et de l'en-tête d'authentification (AH). Associations de sécurité (SA)sont le dernier aspect.
ESP peut être utilisé à la fois pour chiffrer et authentifier des données, tandis que AH ne peut être utilisé que pour les authentifier. Les deux options sont normalement utilisées séparément, bien qu’il soit possible de les utiliser ensemble.
IPsec utilise des SA pour établir les paramètres des connexions. Ces paramètres incluent les systèmes de gestion de clés que chaque partie utilisera pour s'authentifier mutuellement, ainsi que les algorithmes de cryptage, les algorithmes de hachage et d'autres éléments importants pour le fonctionnement d'une connexion sécurisée et stable.
IPsec peut utiliser à la fois ESP et AH en mode tunnel ou transport. Lorsque le mode tunnel est utilisé, l'intégralité du paquet de données est soit cryptée, soit authentifiée (ou les deux). La charge utile, l'en-tête et la fin (le cas échéant) sont enveloppés dans un autre paquet de données pour les protéger.
En mode transport, l'en-tête d'origine reste, mais un nouvel en-tête est ajouté en dessous. Il y a également d'autres changements, selon que l'on utilise ESP ou AH. Cela sert à protéger le paquet, mais certaines informations restent disponibles pour les attaquants.
La configuration la plus courante que nous voyons estESP avec authentification en mode tunnel. C’est sur cela que s’appuient de nombreux VPN pour sécuriser les données. Il fonctionne comme un tunnel crypté, permettant aux données de passer en toute sécurité à travers des réseaux intermédiaires potentiellement dangereux.
L'histoire d'IPsec
Aux débuts d’Internet, la sécurité n’était pas vraiment une priorité dans de nombreuses situations. En effet, la communauté Internet était limitée à ceux qui possédaient les connaissances, les ressources et le désir de l’utiliser. Le nombre d’utilisateurs était minime par rapport à aujourd’hui et une quantité beaucoup plus petite de données était transmise. De ce fait, les attaquants avaient beaucoup moins d’opportunités.
À mesure que la communauté grandissait et qu'Internet devenait plus actif,la sécurité est devenue une nécessité. Dans les années 80, la NSA a utilisé son programme SDNS (Secure Data Network Systems) pour financer le développement d'un certain nombre de protocoles axés sur la sécurité.
Les résultats ont été publiés par le National Institute of Standards and Technology (NIST) en 1988. L'un des protocoles décrits par le NIST, Protocole de sécurité au niveau 3 (SP3) , a fini par devenir un standard Internet, leProtocole de sécurité de la couche réseau (NLSP).
Au fil du temps, diverses organisations ont commencé à améliorer le SP3, avec des projets entrepris par le US Naval Research Lab (NRL), AT&T Bell Labs, Trusted Information Systems et d'autres. Dans le même temps, d’autres avancées, telles que le pilote de périphérique pour le Data Encryption Standard (DES), ont permis d’envoyer en toute sécurité des données entre les côtes des États-Unis à des vitesses raisonnables pour la période.
Si ces développements avaient dû se poursuivre séparément, cela aurait conduit àproblèmes d’interopérabilité entre les différents systèmes. L'Internet Engineering Task Force (IETF) a formé le groupe de travail sur la sécurité IP pour standardiser ces développements dans un protocole interopérable. En 1995, l'IETF a publié les détails de la norme IPsec dans les RFC 1825, RFC 1826 et RFC 1827.
Le LNR a été le premier à proposer une mise en œuvre fonctionnelle de la norme, qui est depuis devenue largement utilisée. Au fil des années, IPsec et sa documentation ont été mis à jour à de nombreuses reprises, mais il est toujours déployé pour authentifier les deux côtés d'une connexion et sécuriser les données qui transitent entre les deux.
Comment fonctionne IPsec ?
Avant d'entrer dans les détails plus techniques d'IPsec et de ses différents modes, nous en parlerons à travers une analogie qui permet de mieux visualiser les configurations un peu compliquées. Tout d’abord, vous devez comprendre un peu comment les paquets fonctionnent IPv4 , et les problèmes de sécurité qui y sont associés.
Que sont les paquets de données et comment fonctionnent-ils ?
Les données sont transmises par paquets, constitués d'uncharge utile et un en-tête en IPv4. La charge utile correspond aux données elles-mêmes qui sont transmises, tandis que l'en-tête comprend le type de protocole, les adresses et d'autres informations nécessaires pour garantir que les données peuvent arriver à l'emplacement souhaité.
L’une des meilleures façons d’imaginer les paquets de données est de les considérer comme des cartes postales. La charge utile est le message que quelqu'un écrit au verso, et l'en-tête est les informations de livraison que vous mettez au recto. Tout comme pour les cartes postales, les données envoyées dans un paquet IPv4 normal ne sont pas très sécurisées.
Dans ces paquets standards,tout le monde peut voir la charge utile, tout comme le facteur ou tout attaquant qui intercepte votre carte postale peut la lire. Ces paquets peuvent même être modifiés comme si vous aviez initialement écrit la carte postale au crayon et qu'un attaquant avait effacé le message original et écrit autre chose.
Les attaquants peuvent également voir les informations d'en-tête, tout comme le recto de votre carte postale. Cela leur permet de savoir avec qui vous communiquez et comment vous le faites. Ils peuvent même simuler leurs propres paquets IPv4 pour donner l'impression que vous les avez envoyés, ce qui revient un peu à s'ils copiaient votre style d'écriture et se faisaient passer pour vous.
Comme vous pouvez le constater, il ne s’agit pas d’une méthode de communication sécurisée, et les attaquants peuvent la perturber de nombreuses manières. C’est ce qui a conduit au développement d’IPsec. jet fourni un moyen d'authentifier les connexions, de prouver l'intégrité des données et de les garder confidentielles, le tout au niveau du réseau. Sans IPsec ou d'autres protocoles de sécurité en place, les attaquants seraient libres de visualiser ou de modifier toutes les données sensibles et précieuses qu'ils interceptaient.
Encapsulation de la charge utile de sécurité (ESP) : une visualisation
Nous parlerons d’abord de l’ESP car c’est le protocole le plus couramment utilisé. Lorsqu'il est implémenté avec une authentification en mode tunnel, il est utilisé pour former des VPN quiconnecter en toute sécurité les hôtes et les réseaux à travers les réseaux intermédiaires non sécurisésqui se situent entre les deux.
Comme vous l'avez vu ci-dessus, il n'est pas sûr de transmettre des données sensibles avec IPv4. Le mode ESP d'IPsec résout ce problème en offrant un moyen dechiffrer les données, ce qui rend les données confidentielles et empêche les attaquants de pouvoir y accéder. L’ESP peut également être utilisé pour authentifier des données, ce qui peut prouver sa légitimité.
Lorsque l’ESP est utilisé avec le cryptage, cela revient un peu à mettre la carte postale dans une boîte verrouillée et à l’envoyer par coursier. Personne ne peut voir le contenu de la carte postale ni le modifier. Ils peuvent voir toutes les informations postales inscrites sur la boîte verrouillée, mais celles-ci sont différentes de ce qui est écrit sur la carte postale.
Si ESP est également utilisé avec l’authentification, cela revient un peu à signer la carte postale ou à y apposer votre sceau personnel avant de la placer dans la boîte. Lorsque le destinataire reçoit la boîte verrouillée, il peut l'ouvrir et sortir la carte postale. Lorsqu’ils voient le sceau ou la signature, ils savent alors que la carte postale vient légitimement de vous.
Lorsque ESP est en mode transport, c'est comme si la carte postale était enfermée dans une boîte et envoyée par coursier, sauf que la boîte comporte une fenêtre transparente à travers laquelle vous pouvez voir les informations d'adresse de la carte postale. Lorsqu’elle est en mode tunnel, c’est comme si la carte postale était dans une boîte solide, avec différentes informations d’adresse à l’extérieur.
Bien sûr, tout cela n’est qu’une analogie pour vous aider à visualiser ce qui se passe. En réalité, il y en ades différences assez significatives telles que les données circulant entre les réseaux et les hôtes, plutôt qu’une simple personne envoyant des informations à une autre.
Encapsulation de la charge utile de sécurité (ESP) : les détails techniques
Maintenant que nous vous avons donné une idée générale de la manière dont l’ESP protège les données, il est temps de l’examiner à un niveau plus technique.ESP peut être utilisé avec une gamme d’algorithmes de chiffrement différents, avec AES étant l’un des plus populaires. Il peut même être mis en œuvre sans cryptage, bien que cela soit rarement fait en pratique. Les en-têtes des paquets de données ESP ont un index des paramètres de sécurité (SPI) et un numéro de séquence.
Le SPI est un identifiant qui permet au destinataire de savoir à quelle connexion les données se rapportent, ainsi que les paramètres de cette connexion. Le numéro de séquence est un autre identifiant qui permet d'empêcher les attaquants de modifier les paquets de données.
ESP propose également une bande-annonce contenant un remplissage, des détails sur le type de protocole pour l'en-tête suivant et des données d'authentification (si l'authentification est utilisée). Lorsque l'authentification est en place, elle se fait avec unCode d'authentification de message haché (HMAC), qui est calculé à l'aide d'algorithmes tels que SHA-2 et SHA-3.
L'authentification ESP valide uniquement l'en-tête ESP et la charge utile chiffrée, mais elle n'affecte pas le reste du paquet. Lorsqu'un paquet est chiffré avec ESP, les attaquants ne peuvent voir que les données de l'en-tête et non la charge utile.
Charge utile de sécurité encapsulante (ESP) : mode de transport
Le mode de transport d'ESP est utilisé pour protéger les informations envoyées entre deux hôtes. L'en-tête IP est conservé au-dessus du paquet ESP et la plupart des informations d'en-tête restent les mêmes, y compris les adresses source et de destination. Il crypte et authentifie éventuellement le paquet, ce qui assure la confidentialité et peut également être utilisé pour vérifier l’intégrité du paquet.
Charge utile de sécurité encapsulante (ESP) : mode tunnel
Lorsque ESP est en mode tunnel, l'intégralité du paquet de données IP est enveloppée dans un autre et un nouvel en-tête est ajouté par-dessus.Lorsque l'authentification est également en place, le mode tunnel ESP peut être utilisé comme VPN. Il s’agit de la configuration IPsec la plus fréquemment utilisée.
Les mesures d’authentification, de preuve d’intégrité et de confidentialité impliquées dans le mode tunnel authentifié d’ESP le rendent utile pour joindre en toute sécurité deux réseaux distincts à travers les réseaux non fiables et potentiellement dangereux qui les séparent.
Ce mode est mieux décrit par le cliché commun consistant à construire un tunnel crypté entre les deux points, créant une connexion sécurisée que les attaquants ne peuvent pas pénétrer. Lorsque ESP est utilisé pour chiffrer et authentifier,les attaquants qui interceptent les données ne peuvent voir qu'un VPN est utilisé pour la connexion. Ils ne peuvent pas voir la charge utile ou l'en-tête d'origine.
Les VPN étaient initialement utilisés par les entreprises pour connecter les bureaux régionaux au siège social. Ce type de connexion permet aux entreprises de partager facilement et en toute sécurité des données entre leurs sites distincts. Ces dernières années, les VPN sont également devenus un service populaire auprès des particuliers. Ils sont souvent utilisés à des fins de géo-usurpation d’identité ou pour sécuriser les connexions, notamment lors de l’utilisation du wifi public.
En-tête d'authentification (AH) : une visualisation
Maintenant que nous avons abordé l'ESP, AH devrait être un peu plus facile à comprendre. Étant donné que AH ne peut être utilisé que pour authentifier des paquets de données, c’est comme signer une carte postale ou y ajouter votre propre sceau. Puisqu’aucun cryptage n’est impliqué, il n’y a pas de boîte verrouillée ni de coursier dans cette analogie.
L’absence de protection cryptée est un peu comme une carte postale envoyée par courrier ordinaire, où le facteur et tout attaquant peuvent voir à la fois l’adresse et le message écrit au dos de la carte. Toutefois, du fait du sceau ou de la signature, ces informations ne peuvent être modifiées. De même, le sceau et la signature vous permettent de prouver que vous êtes le véritable expéditeur, plutôt que quelqu'un qui essayait de vous imiter.
En mode transport AH, unun en-tête d'authentification est ajouté, qui protège la charge utile et la grande majorité des informations d'en-tête. C’est un peu comme une carte postale imaginaire dotée d’un sceau transparent protégeant la majorité de son contenu.
Tout ce qui se trouve sous le sceau ne peut pas être modifié, mais la carte postale entière peut être vue par quiconque l'intercepte. Quelques détails ne sont pas couverts par le sceau et pourraient potentiellement être modifiés, mais toutes les informations importantes sont sécurisées par le sceau. Le sceau contiendrait également des informations écrites dessus, mais pour les besoins de cet exemple, il n’est pas important d’en parler pour le moment.
DansEn mode tunnel, le paquet est enveloppé dans un autre et la majorité est authentifiée.L’analogie s’effondre un peu dans ce cas, mais c’est un peu comme emballer la carte postale dans une enveloppe transparente avec un sceau. L'enveloppe contient également sa propre adresse et le sceau protège presque le tout contre toute modification.
En-tête d'authentification (AH) : détails techniques
AH est utilisé pour authentifier que les données proviennent d’une source légitime et qu’elles conservent leur intégrité. Il peut être utilisé pour montrer que les données n’ont pas été falsifiées et pour se protéger contre les attaques par relecture.
AH n’est pas implémenté très fréquemment, mais il est quand même important d’en discuter. Il ajoute son propre en-tête d'authentification et utiliseCodes d'authentification des messages de hachage (HMAC)pour protéger la majorité du paquet de données. Cela inclut l'intégralité de la charge utile, ainsi que la plupart des champs de l'en-tête. Les HMAC sont calculés avec des algorithmes de hachage comme SHA-2.
En-tête d'authentification (AH) : mode de transport
Le mode de transport AH est généralement utilisé pourcommunication bidirectionnelle entre les hôtes.Un en-tête AH est ajouté au paquet et une partie du code du protocole est déplacée. Lorsqu'un paquet AH arrive et que le HMAC est vérifié, l'en-tête AH est supprimé et quelques autres modifications sont apportées. Une fois que le paquet de données a retrouvé sa forme normale, il peut être traité comme d'habitude.
En-tête d'authentification (AH) : mode tunnel
Dans ce mode, le paquet d'origine est enveloppé dans un autre, puis authentifié auprès d'un HMAC. Cele processus ajoute un en-tête d'authentification, authentifiant l'intégralité de l'en-tête d'origine (en mode transport, quelques parties de l'en-tête ne sont pas couvertes) ainsi que la majorité de l'en-tête nouvellement ajouté. La charge utile est également authentifiée.
Lorsque ces paquets atteignent leur destination, ils subissent un contrôle d'authentification, puis le paquet est ramené à la normale en supprimant à la fois l'en-tête nouvellement ajouté ainsi que l'en-tête d'authentification.
Associations de sécurité (SA)
Les associations de sécurité (SA) définissent et stockent les paramètres d'une connexion IPsec. Ils sont utilisés à la fois par AH et ESP pour établir un processus de communication stable qui répond aux besoins de sécurité de chaque partie. Chaque hôte ou réseau possède des SA distinctes pour chaque partie avec laquelle il se connecte, qui ont toutes leur propre ensemble de paramètres.
Lorsque deux hôtes négocient leur connexion pour la première fois, ilsformer une SA avec les paramètres qui seront utilisés dans la connexion. Ils le font selon un processus étape par étape, une partie proposant une politique que l’autre peut accepter ou rejeter. Ce processus se poursuit jusqu'à ce qu'ils parviennent à une politique mutuellement acceptable et répétée pour chaque paramètre distinct.
Chaque SA comprend les algorithmes qui seront utilisés, qu'il s'agisse d'authentification (comme SHA-2) ou de cryptage (comme AES). Les SA incluent également les paramètres d'échange de clés (tels que IKE), la politique de filtrage IP, les restrictions de routage, etc. Une fois qu'une association de sécurité a été établie, elle est stockée dans la base de données des associations de sécurité (SAD).
Lorsqu'une interface reçoit un paquet de données, elle utilise trois informations différentes pour trouver la bonne SA. Le premier est leAdresse IP du partenaire, qui, comme vous pouvez le supposer, est l’adresse IP de l’autre partie participant à la connexion. La seconde est laProtocole IPsec, soit ESP, soit AH.
La dernière information est laIndex des paramètres de sécurité (SPI), qui est un identifiant ajouté à l'en-tête. Il permet de choisir entre les SA des différentes connexions afin de s'assurer que les paramètres corrects sont appliqués.
Chaque SA ne va que dans un sens, il en faut donc au moins deux pour que la communication puisse aller dans les deux sens. Si AH et ESP devaient être utilisés ensemble, alors une SA serait nécessaire dans chaque direction pour chaque protocole, soit un total de quatre.
IPsec contre TLS/SSL
Il peut parfois être difficile de comprendre la différence entre IPsec et des protocoles comme TLS/SSL. Après tout, ils assurent tous les deux simplement la sécurité, n'est-ce pas ? Ils le font, mais ils le font de différentes manières et à différents niveaux.
L'une des meilleures façons de comparer IPsec et TLS/SSL est deregardez-les dans le contexte du modèle OSI. Le Modèle OSI est un système conceptuel utilisé pour aider à comprendre et à standardiser les différents aspects et couches de notre processus de communication complexe.
Dans ce modèle,Fonctions IPsec au niveau de la troisième couche, la couche réseau, ce qui signifie qu'elle est positionnée pour transférer des paquets de données vers un hôte sur un ou plusieurs réseaux.
Lorsque nous examinons TLS/SSL, les choses deviennent un peu plus confuses. En effet, il s'exécute sur un autre support de transport, TCP. Cela devrait placerTLS/SSLau-dessus de la quatrième couchedans le modèle OSI.
TLS/SSL organise également les messages de prise de contact, qui constituent le cinquième niveau, la couche session. Cela placerait TLS/SSL dans les couches six ou sept.
Cela devient plus compliqué si l’on considère que les applications utilisent TLS/SSL comme protocole de transport. Cela placerait TLS/SSL au niveau quatre ou moins. Maiscomment peut-il être simultanément dans les couches six ou sept, ainsi que dans la couche quatre ou inférieure ?
La réponse est que leTLS/SSL ne rentre tout simplement pas dans le modèle. Les raisons derrière cela sortent du cadre de cet article. La chose la plus importante que vous devez savoir est que le modèle OSI n’est que cela, un modèle, et que parfois la réalité n’est pas conforme à nos modèles soignés et ordonnés.
Lorsque nous parlons de ces normes dans un sens pratique,Le rôle de TLS/SSL est d’authentifier les données, de vérifier leur intégrité, de les chiffrer et de les compresser.Il peut être mis en œuvre pour sécuriser une gamme d'autres protocoles, tels que HTTP ou SMTP, et est également utilisé dans un large éventail d'applications, telles que la VoIP et la navigation Web.
IPsec diffère de plusieurs manières, la première est quec'est un cadre, plutôt qu’un protocole unique. Il est également plus complexe, ce qui le rend difficile à mettre en place et à maintenir.
En fin de compte, TLS/SSL est plus simple qu’IPsec, ce qui explique également pourquoi il a tendance à être mis en œuvre de manière plus répandue. Il s'agit d'un élément essentiel de l'un des principaux protocoles de tunneling alternatifs, OpenVPN.
Voir également: Guide ultime de TCP/IP
Sécurité IPsec
Ces dernières années, on a beaucoup parlé deles agences gouvernementales placent des portes dérobées dans IPsec et profitent des vulnérabilités pour cibler ceux qui utilisent le protocole. Certaines des premières allégations ont été formulées en 2010, lorsque Greg Perry a contacté le développeur principal d'OpenBSD.
Il a affirmé quele FBI avait placé de nombreuses portes dérobées, ainsi que des mécanismes de fuite de clés de canal secondaire, dans le code OpenBSD. Cela affecterait la pile OpenBSD IPsec, qui est largement utilisée.
Dans les années 2013 Fuites de Snowden , il a été révélé que leLa NSA ciblait diverses formes de cryptage et d'autres outils de sécurité. Les documents semblent confirmer que la NSA disposait de ses propres méthodes pour accéder aux clés utilisées dans IPsec, leur permettant d'espionner certaines connexions.
Documentation divulguée par le Courtiers fantômes en 2016 montre que leLa NSA dispose d'un outil qui pourrait être utilisé pour briser l'implémentation IPsec utilisée dans les pare-feu PIX de Cisco.. Bien que ces pare-feu aient été abandonnés en 2009, l'attaque BENIGNCERTAIN pourrait être utilisée pour accéder aux mots de passe des appareils PIX.
L'attaque impliquait l'envoi de paquets Internet Key Exchange (IKE) à un serveur PIX,ce qui lui ferait libérer une partie de sa mémoire. Ces informations pourraient être recherchées pour trouver les informations de configuration et la clé privée RSA, qui pourraient ensuite être utilisées par la NSA pour espionner la connexion IPsec. Gardez à l’esprit qu’il ne s’agit que d’une implémentation vulnérable et qu’elle n’affecte aucune forme actuelle d’IPsec.
En 2018, des chercheurs ont exploité un faille dans le protocole IKE , ce qui leur a permis de décrypter les connexions. La preuve de concept peut être utilisée pour mener des attaques de type « man-in-the-middle », dans lesquelles les attaquants peuvent intercepter des données, les falsifier ou même empêcher leur transmission.
La technique utilise Oracles de Bleichenbacher pour déchiffrer les noms occasionnels, ce qui perturbe l'authentification RSA dans la première phase d'IKE. Cela permet aux attaquants d’utiliser des clés symétriques authentifiées frauduleusement avec leur cible. Ils peuvent alors usurper le point de terminaison IPsec, perturbant le cryptage, ce qui leur permet de s'insérer dans ce qui était auparavant une connexion sécurisée.
Bien qu’il s’agisse d’une attaque inquiétante, des correctifs ont été publiés pour les implémentations connues pour affecter. Huawei, Cisco, Clavister et XyXEL ont tous publié des correctifs peu de temps après avoir été alertés de la vulnérabilité.Il est possible d'utiliser ces implémentations précédemment concernées en toute sécurité tant qu'elles sont à jour..
Il existe plusieurs autres vulnérabilités potentielles dans IPsec, dont beaucoup impliquent IKE. Malgré ces problèmes,IPsec est toujours considéré comme sûr pour un usage général, à condition qu'il ait été implémenté correctement et que l'implémentation utilise les dernières mises à jour.
IPsec lui-même n'est pas cassé. Il est important de se rappeler qu’il ne s’agit que d’un framework pouvant utiliser un certain nombre de protocoles différents. Il est toujours possible d’utiliser IPsec en toute sécurité, à condition que les bons protocoles soient utilisés de manière appropriée. Cependant, les configurations non sécurisées peuvent être attaquées par la NSA et d'autres parties. Il est donc important que vous utilisiez IPsec correctement.
Faut-il utiliser IPsec ?
IPsec est principalement utilisé pour former un tunnel sécurisé dans les VPN, mais ce n’est pas la seule option. Si vous vous inquiétez pour votre sécurité, il est préférable d’envisager les autres options et de trouver une solution adaptée à votre cas d’utilisation et à votre profil de risque.
Les principales alternatives sont PPTP, SSTP et OpenVPN. Le protocole PPTP (Point-to-Point Tunneling Protocol) est ancien et présente de nombreux problèmes de sécurité.mieux vaut l'éviter en toutes circonstances. Le protocole SSTP (Secure Socket Tunneling Protocol) est une meilleure option pour les utilisateurs Windows.non audité de manière indépendante.
OpenVPN est une alternative open source qui propose une gamme d'options de configuration différentes.Il utilise SSL/TLS et n'est pas connu pour avoir des problèmes de sécurité, c'est donc le meilleur choix pour quiconque s'inquiète des problèmes de sécurité découverts dans IPsec.
Cela ne signifie pas que toutes les connexions IPsec sont intrinsèquement non sécurisées, cela signifie simplement qu'il existe des alternatives plus sûres pour ceux qui sont soucieux de leur sécurité ou qui sont confrontés à un niveau de menace élevé.
En rapport: IPSec contre SSL
Clavier d'ordinateur sous licence CC0