République du Cameroun Republic of Cameroon

Paix- Travail- Patrie Peace- work- Fatherland

*********** ***********
Ministère de l’Enseignement supérieur Ministry of Higher Education
************ ***********
Université de Maroua The University of Maroua
************ ***********
Ecole Nationale Supérieure National Advanced School of
Polytechnique de Maroua Engineering of Maroua
*********** ***********
Département d’informatique et des Department of computer sciences and
télécommunications telecommunications
************ ***********

UE 438 : SPECIALISATION ET CRYPTOGRAPHIE ET

CODES CORRECTEURS.

TRAVAIL PERSONNEL DE L’ETUDIANT

THEME : Le protocole IPsec & le

protocole Diameter

Présenté par :

NOMS ET PRENOMS MATRICULES

KORE MAHAMAT 20C0221EP

NERAKA JUNIOR DESIRE 22E0515EP

SOUNKOUA ROGER 22EO518EP

Enseignant : M. ANAMAK Fidèle

 SOMMAIRE

INTRODUCTION ........................................................................................................................ 1
I. LE PROTOCOLE IPSEC ..................................................................................................... 2

1. Principes de bases ............................................................................................................. 2

2. Mode de fonctionnement .................................................................................................. 3

3. Cas d’utilisation................................................................................................................ 5

II. LE PROTOCOLE DIAMETER ....................................................................................... 6

1. Rappel sur le protocole RADIUS ..................................................................................... 6

2. Présentation du protocole Diameter ................................................................................. 7

3. Mécanisme de fonctionnement du protocole diameter..................................................... 8

4. Cas d’utilisation .................................................................................................................... 9

CONCLUSION ........................................................................................................................... 11

BIBLIOGRAPHIE...................................................................................................................... 12
 INTRODUCTION

Dans un monde où la connectivité et les échanges de données sont au cœur de nos vies,
la sécurité des communications réseau devient une préoccupation primordiale. Les informations
que nous partageons et transférons à travers les réseaux nécessitent une protection robuste contre
les menaces potentielles. C'est dans ce contexte que deux protocoles majeurs, IPsec et Diameter,
émergent comme des piliers essentiels de la sécurité des communications. Au cours de notre
travail, nous plongerons dans les principes fondamentaux et les mécanismes de fonctionnement de
ces deux protocoles, explorant également leurs applications concrètes à travers des cas
d'utilisation. Comprendre IPsec et Diameter est essentiel pour appréhender les moyens par lesquels
la sécurité réseau est assurée dans un monde interconnecté.

1
 I. LE PROTOCOLE IPSEC

1. Principes de bases

Le protocole IPsec repose sur plusieurs principes de bases :

➔ Confidentialité des données : IPsec vise à assurer la confidentialité des données en les
chiffrant. Il utilise le protocole ESP (Encapsulation Security Payload) pour encapsuler les paquets
IP dans des enveloppes sécurisées. ESP chiffre le contenu des paquets en utilisant des algorithmes
de chiffrement symétriques tels que AES (Advanced Encryption Standard), 3DES (Triple Data
Encryption Standard) ou DES (Data Encryption Standard). Cela garantit que les données ne
peuvent pas être lues par des tiers non autorisés.
➔ Intégrité des données : IPsec garantit l'intégrité des données en détectant toute altération
ou modification des paquets IP en transit. Le protocole AH (Authentication Header) est utilisé
pour ajouter une signature numérique (MAC - Message Authentication Code) aux paquets IP. Cette
signature est calculée à l'aide d'une fonction de hachage cryptographique, telle que HMAC (Hash-
based Message Authentication Code), qui permet de vérifier l'intégrité des données lors de leur
transmission. Ainsi, toute tentative de modification des données sera détectée.
➔ Authentification des entités : IPsec fournit l'authentification des entités communicantes
pour garantir que les données sont échangées uniquement entre des entités légitimes. Les
protocoles de négociation des clés, tels que IKE (Internet Key Exchange), sont utilisés pour établir
des clés de chiffrement partagées de manière sécurisée entre les entités. Ces clés sont utilisées
pour authentifier les paquets IPsec et garantir l'identité des parties impliquées dans la
communication.
➔ Protection contre les attaques de rejeu : IPsec protège également contre les attaques de
rejeu, où un attaquant tente de réinjecter des paquets précédemment capturés dans le réseau. IPsec
utilise des numéros de séquence et des codes d'horodatage pour détecter et rejeter les paquets en
double ou les paquets qui sont en dehors de la fenêtre de réception acceptable.
➔ Flexibilité : IPsec offre une grande flexibilité en termes de configuration et de déploiement.
Il peut être utilisé pour sécuriser les connexions point à point, les réseaux privés virtuels (VPN)
ou même pour sécuriser des connexions entre des réseaux entiers. IPsec peut être mis en œuvre au
niveau de la pile IP (IPsec natif) ou au niveau des applications (IPsec en mode transport). Il peut
également prendre en charge différentes combinaisons de protocoles de chiffrement et
d'algorithmes d'authentification en fonction des besoins spécifiques de sécurité.

2
Figure 1: architecture d'IPsec

2. Mode de fonctionnement

Indépendamment du choix entre AH et ESP, il est possible d’utiliser IPsec dans deux modes
distincts : le mode tunnel et le mode transport. Le mode tunnel rend le service attendu dans la
majorité des cas.
➔ Mode transport : Dans le mode transport, les données associées à AH ou à ESP
viennent se greffer sur le paquet IP initial (c'est-à-dire celui qu’on aurait envoyé en l’absence
d’IPsec). Le paquet IP résultant contient un paquet AH ou ESP qui contient lui-même le contenu
du paquet initial (un segment TCP par exemple). On peut remarquer que l’en-tête IP initiale doit
être modifiée : son champ protocole doit indiquer 50 ou 51 pour ESP ou AH en lieux et place par
exemple de 6 (TCP) ou 17 (UDP). C’est l'en-tête (AH ou ESP) qui indiquera le protocole encapsulé
qui était auparavant indiqué dans l’en-tête IP.

3
Figure 2: Utilisation d'AH en mode transport

Figure 3 : Utilisation d'ESP en mode transport

ICV désigne « Integrity Check Value », valeur utilisée par le mécanisme de contrôle d’intégrité.
➔ Mode tunnel : Dans le mode tunnel en revanche, un nouveau paquet IP est généré
pour contenir un paquet AH ou ESP qui contient lui-même le paquet IP initial sans modification.
Dans ce mode, il y a donc en définitive deux en-têtes IP. L’en-tête externe sera effectivement utilisé
pour le routage dès l’émission du paquet. L’en-tête interne, qui peut être chiffrée dans le cas où
l’on utilise ESP avec le service de confidentialité, ne sera traitée que par le destinataire (du paquet
externe). Elle sera ignorée par les équipements réseau situés entre l’émetteur et le destinataire. On
réalise ainsi un « tunnel » à travers ce réseau, de la même façon qu’on peut le faire avec des
protocoles tels que IPIP (RFC 2003) ou GRE (RFC 2784).

4
Figure 4 : Utilisation d'AH en mode tunnel

Figure 5 : Utilisation d'ESP en mode tunnel

3. Cas d’utilisation

Réseaux privés virtuels : avec le protocole IPsec l’une des utilisations les plus fréquent
d’IPsec est la création de réseaux privés virtuels entre différents réseaux privés séparés par un
réseau non fiable comme l’Internet. Il fonctionne en cryptant les paquets IP tout en authentifiant
la source d’où proviennent les paquets les matériels impliqués sont les passerelles de sécurités en
entrée/sortie des différents réseaux (routeurs, gardes-barrières, boîtiers dédiés). Cette utilisation
nécessite donc l’installation et la configuration d’IPsec sur chacun de ces équipements afin de
protéger les échanges de données entre les différents sites.

Figure 6 : Réseaux privés virtuels

5
 II. LE PROTOCOLE DIAMETER

1. Rappel sur le protocole RADIUS

Le protocole RADIUS (Remote Authentication Dial-In User Service) est un protocole de

gestion d'accès à distance utilisé pour l'authentification, l'autorisation et la comptabilité des
utilisateurs.

Les caractéristiques du protocole RADIUS :

➢ Architecture Client/serveur : RADIUS suit un modèle client/serveur où les clients, tels

que des serveurs d'accès distant, envoient des demandes d'authentification à des serveurs
RADIUS.
➢ Authentification : Il est principalement utilisé pour l'authentification des utilisateurs se
connectant à un réseau. Les informations d'identification, telles que les noms d'utilisateur
et les mots de passe, sont vérifiées par le serveur RADIUS.
➢ Sécurité : La sécurité de RADIUS repose souvent sur un mot de passe partagé entre le
client et le serveur RADIUS. Cependant, ce modèle présente des limites en termes de
sécurité des données.
Limites du protocole RADIUS

❖ Sécurité limitée : RADIUS utilise un modèle de sécurité relativement faible, reposant

fréquemment sur un mot de passe partagé entre le client et le serveur. Cela expose le
système aux risques de compromission, car la sécurité dépend fortement de la force du mot
de passe partagé.
❖ Extensibilité limitée : L'ajout de nouvelles fonctionnalités à RADIUS peut être complexe,
et certaines extensions peuvent causer des problèmes d'interopérabilité. Le protocole n'est
pas aussi facilement extensible pour répondre aux évolutions des besoins réseau.
❖ Gestion des Sessions : RADIUS présente des limitations dans la gestion des sessions, en
particulier dans les environnements où la mobilité des utilisateurs est une préoccupation
importante.
❖ Prise en charge d'IPv6 : Étant développé à une époque où IPv4 était prédominant,
RADIUS peut rencontrer des difficultés dans les réseaux modernes qui utilisent IPv6.

6
2. Présentation du protocole Diameter

À l'origine, il est conçu pour faire de l'authentification, et succéder au protocole RADIUS

(Remote Authentication Dial-In User Service). Ses objectifs, qui définissent les prérequis
minimums nécessaires pour un protocole AAA (Authentication, Authorization,
Accounting/Auditing), sont initialement décrits par la RFC [Link] est notamment utilisé dans le
cœur des réseaux de téléphonie mobile 4G/LTE pour faire communiquer les différents
équipements du cœur de réseau, tel que le HSS, le MME ou le PCRF. Diameter est un protocole
AAA basé sur les messages, dans lequel les nœuds AAA échangent des messages et reçoivent un
accusé de réception positif ou négatif pour chaque message échangé entre les nœuds. Pour
l'échange de messages, il utilise en interne TCP et SCTP, ce qui le rend fiable. Le protocole de
base Diameter fournit des services d'authentification, d'autorisation et de comptabilité (AAA) sur
les réseaux 3G, IMS(IP Multimedia Subsystem) et 4G pour des applications telles que l'accès au
réseau et la mobilité des données. Les protocoles AAA constituent la base de l'administration des
services dans le secteur des télécommunications. Ils permettent notamment de déterminer les
services auxquels un utilisateur peut accéder, à quelle qualité de service (QoS) et à quel coût.
Depuis l'introduction de la technologie IP dans un réseau de télécommunication, le protocole
Diameter a été choisi comme protocole AAA pour tous les réseaux fixes et mobiles. Diameter est
conçu comme une architecture peer-to-peer, et chaque hôte qui implémente le protocole diameter
peut agir en tant que client ou serveur ou agent en fonction du déploiement du réseau. Le nœud
diameter qui reçoit la demande de connexion de l'utilisateur agit en tant que client Diameter. Dans
la plupart des cas, un client Diameter sera un serveur d'accès au réseau. Après avoir collecté les
informations d'identification de l'utilisateur, telles que le nom d'utilisateur et le mot de passe, il
enverra un message Diameter (unité de base utilisée pour envoyer des commandes ou envoyer des
notifications à d'autres nœuds) de demande d'accès à un nœud Diameter (serveur Diameter) servant
la demande. Le serveur Diameter authentifie l'utilisateur en fonction des informations fournies. Si
le processus d'authentification réussie, les privilèges d'accès de l'utilisateur sont inclus dans le
message de réponse et renvoyés au client diameter correspondant. Sinon, un message de rejet
d'accès est envoyé. Un agent diameter est une entité logicielle ou matérielle qui intervient dans la
gestion et le traitement des messages du protocole diameter au sein des réseaux de
télécommunications. La découverte dynamique des voisins permet à un client Diameter de
découvrir le premier saut avec lequel communiquer et à un agent de découvrir le prochain agent
auquel transférer un message donné.

7
3. Mécanisme de fonctionnement du protocole diameter

Le fonctionnement du protocole Diameter implique plusieurs mécanismes clés pour

assurer l'authentification, l'autorisation et la comptabilité dans les réseaux de télécommunications.
Voici un aperçu des principaux mécanismes de fonctionnement du protocole Diameter :

❖ Initiation de la Session : Le processus commence par l'initiation d'une session par un client
Diameter. Le client envoie une requête Diameter au serveur Diameter approprié pour
demander l'authentification et l'autorisation.
❖ Authentification : Le serveur Diameter reçoit la requête d'authentification du client et
procède à l'authentification de l'utilisateur. Cela peut impliquer la vérification des
informations d'identification de l'utilisateur, telles que le nom d'utilisateur et le mot de
passe, par rapport à une base de données d'abonnés.
❖ Autorisation : Une fois l'authentification réussie, le serveur Diameter vérifie les droits
d'accès de l'utilisateur et détermine les services auxquels il est autorisé à accéder. Le
serveur renvoie alors une réponse au client indiquant les autorisations accordées.
❖ Comptabilité : Pendant la session, des informations de comptabilité peuvent être
échangées entre le client et le serveur Diameter pour enregistrer l'utilisation des ressources
réseau par l'utilisateur. Cela peut inclure des informations telles que la durée de la session,
le volume de données transférées, etc.
❖ Attributs et Valeurs : Les messages Diameter échangés entre le client et le serveur
contiennent des attributs et des valeurs qui transportent des informations spécifiques sur la
session en cours, telles que les identifiants d'utilisateur, les informations d'authentification,
les autorisations d'accès et les informations de comptabilité.
❖ Sécurité : Le protocole Diameter intègre des mécanismes de sécurité avancés pour protéger
les échanges d'informations sensibles entre les clients et les serveurs. Cela peut inclure le
chiffrement des messages, l'intégrité des données, l'authentification mutuelle entre les
entités du réseau et la protection contre les attaques telles que la falsification de messages
et le rejeu.
❖ Gestion de Session : Une fois la session établie, le client et le serveur Diameter
maintiennent un état de session pour suivre l'état de la connexion et gérer les transactions
ultérieures, telles que les mises à jour d'attributs et les modifications d'autorisations.

8
 En résumé, le protocole Diameter fonctionne en établissant des sessions entre les clients et
les serveurs Diameter, en fournissant des mécanismes d'authentification, d'autorisation, de
comptabilité et de sécurité pour gérer l'accès des utilisateurs aux services réseau dans les
environnements de télécommunications.

Figure 7 : Fonctionnement du protocole diameter

4. Cas d’utilisation

Le protocole Diameter, conçu comme une évolution du protocole RADIUS (Remote

Authentication Dial-In User Service), est largement utilisé dans divers contextes pour gérer et
contrôler l'accès aux réseaux. Voici quelques cas d'utilisation courants du protocole Diameter :

❖ Roaming entre Opérateurs :

Lorsqu'un abonné d'un opérateur se déplace vers une zone où son opérateur n'a pas de couverture
directe, il peut se connecter à un réseau d'itinérance fourni par un autre opérateur. Le protocole
Diameter est utilisé pour faciliter les échanges d'informations entre les opérateurs pour gérer
l'authentification, l'autorisation, et la comptabilité (AAA) pendant le processus d'itinérance. Plus
précisément, le protocole Diameter est impliqué dans les échanges entre les serveurs diameter des
opérateurs d'origine et d'accueil pour garantir que l'abonné est authentifié correctement, qu'il a les
autorisations nécessaires, et que les informations de comptabilité sont correctement enregistrées.

❖ Authentification et Autorisation dans les Réseaux Mobiles (LTE, 5G) :

Diameter est utilisé pour l'authentification des abonnés et l'autorisation des services dans les
réseaux mobiles de nouvelle génération, tels que LTE (Long-Term Evolution) et 5G. Lorsqu'un
utilisateur se connecte au réseau mobile, le protocole Diameter est utilisé pour gérer les échanges

9
entre le terminal de l'abonné, le serveur de mobilité, le serveur d'accès, et d'autres éléments du
réseau.

❖ Services de messagerie et multimédia :

Diameter peut être utilisé pour gérer l'authentification et l'autorisation dans des services de
messagerie et multimédia, comme la messagerie instantanée, les appels vidéo et d'autres services
de communication avancés.

10
 CONCLUSION

En somme, notre exploration des protocoles IPsec et Diameter dévoile leur rôle crucial
dans la protection des données transitant à travers les réseaux. Les principes de base d'IPsec,
garantissant l'intégrité et la confidentialité des données, se complètent harmonieusement avec les
fonctionnalités de Diameter, dédiées à l'authentification et à la gestion des services réseau. Les cas
d'utilisation examinés illustrent la diversité des contextes où ces protocoles trouvent leur utilité.
Ainsi, IPsec et Diameter se positionnent comme des remparts essentiels, contribuant à l'édification
d'un environnement réseau sécurisé, fondamental dans notre ère de communication omniprésente.
La compréhension de ces protocoles offre non seulement un aperçu technique, mais renforce
également notre capacité à naviguer dans un paysage numérique en perpétuelle évolution, en
assurant la protection et la confidentialité des informations cruciales pour notre quotidien.

11
 BIBLIOGRAPHIE

• [Link]
• [Link]
• [Link]
protocols/[Link]

12