6.2. IPsec

Red Hat Enterprise Linux prend en charge IPsec pour connecter des hôtes et des réseaux distants à l'aide d'un tunnel sécurisé sur un réseau courant comme l'internet. IPsec peut être implémenté d'hôte à hôte (d'un poste de travail à un autre) ou de réseau à réseau (d'un LAN/WAN à un autre). L'implémentation IPsec dans Red Hat Enterprise Linux utilise IKE (Internet Key Exchange), un protocole implémenté par l'IETF (Internet Engineering Task Force), pour des authentifications mutuelles et des associations sécurisées entre les systèmes se connectant.

Une connexion IPsec est divisée en deux phases logiques. Dans la première phase, un noeud IPsec initialise la connexion avec le noeud ou le réseau distant. Ce dernier vérifie les références du noeud envoyant la requête et les deux partis négocient la méthode d'authentification pour la connexion. Sur les systèmes Red Hat Enterprise Linux, une connexion IPsec utilise la méthode de clé pré-partagée d'authentification de noeuds IPsec. Dans une connexion IPsec à clé pré-partagée, les deux hôtes doivent utiliser la même clé afin de passer à la seconde phase de la connexion IPsec.

Lors de la deuxième phase de la connexion IPsec, l'association de sécurité (SA) est créée entre les noeuds IPsec. Cette phase établit une base de données SA avec les informations de configuration, comme la méthode de cryptage, les paramètres d'échange de clés de session secrètes et bien plus encore. Cette phase gère la connexion IPsec actuelle entre les noeuds et les réseaux distants.

L'implémentation Red Hat Enterprise Linux de IPsec utilise IKE pour le partage des clés entre hôtes à travers l'internet. Le démon de gestion des clés racoon se charge de la distribution et de l'échange des clés IKE.