GRE sur IPSec vs IPSec sur GRE: Comparaison détaillée

GRE sur IPSec vs IPSec sur GRE

Qu’est-ce que le GRE?

L’encapsulation de routage générique (GRE) est un protocole de tunneling développé par Cisco. Il s’agit d’un protocole d’encapsulation de paquets IP simple. L’encapsulation de routage générique est utilisée lorsque des paquets IP doivent être transportés d’un réseau à un autre réseau, sans être notifiés en tant que paquets IP par des routeurs intermédiaires.

GRE permet à deux utilisateurs finaux de partager des données qu’ils ne pourraient pas partager sur le réseau public. Il prend en charge n’importe quel protocole OSI de couche 3. Il utilise le protocole 47. Les tunnels GRE prennent en charge l’encapsulation pour les paquets monodiffusion et multidiffusion. GRE peut transporter le trafic IPv6 et multidiffusion entre les réseaux. Cependant, les tunnels GRE ne sont pas considérés comme un protocole sécurisé car il manque de cryptage des charges utiles.

Qu’est-ce qu’IPSec ?

IPSEC signifie Sécurité du protocole Internet. Il s’agit d’une suite de protocoles de l’Internet Engineering Task Force (IETF) entre deux points de communication sur le réseau de protocole Internet qui assurent l’authentification, l’intégrité et la confidentialité des données. IPSec est principalement utilisé pour configurer des VPN et fonctionne en chiffrant les paquets IP, ainsi qu’en authentifiant la source d’où proviennent les paquets.

Related–GRE VS IPSEC

Nous devons établir un tunnel IPSec entre deux pairs IPSec avant de protéger les paquets IP. Nous utilisons un protocole appelé IKE (Internet Key Exchange) pour établir un tunnel IPSec.

IKE se compose de 2 phases afin de construire un tunnel IPSec. Ils sont:

• Phase IKE 1
• Phase IKE 2

IKE Phase 1

Le but principal de IKE phase 1 est de créer un tunnel sécurisé afin qu’il puisse être utilisé pour IKE phase 2.

Les étapes suivantes sont effectuées en phase IKE 1

• Négociation
• Échange de clés DH
• Authentification

IKE phase 2

La IKE phase 2 est utilisée pour protéger les données utilisateur. Le mode rapide est intégré dans le tunnel IKE phase 2. Dans la phase IKE 2, la négociation du tunnel se fera sur les points suivants.

• Protocole IPSec
• Mode d’encapsulation
• Cryptage
• Authentification
• Durée de vie
• Échange DH (facultatif)

IKE construit les tunnels mais il n’authentifie ni ne crypte les données utilisateur. Pour cela, nous utilisons deux autres protocoles:

• AH (En-tête d’authentification)
• ESP (Encapsulation de la Charge utile de sécurité)

Les deux protocoles AH et ESP prennent en charge l’authentification et l’intégrité, mais ESP prend également en charge le cryptage. Pour cette raison, ESP est le protocole le plus couramment utilisé de nos jours.

Les deux protocoles ci-dessus prennent en charge deux modes. Ils sont

• Mode Tunnel
• Mode Transport

L’une des principales différences entre les deux modes est que l’en-tête IP d’origine est utilisé dans le mode Transport et que le nouvel en-tête IP est utilisé dans le mode Tunnel.

L’ensemble du processus d’IPSec se fait en cinq étapes. Ils sont les suivants

• Initiation
• IKE Phase 1
• IKE Phase 2
• Transfert de données
• Terminaison

GRE lié vs L2TP

GRE sur IPSec:

Comme nous savons que GRE est un protocole d’encapsulation et qu’il ne peut pas chiffrer les données, nous prenons donc l’aide d’IPSec pour effectuer le travail de cryptage.

GRE sur IPSec peut être configuré en deux modes.

• Mode Tunnel IPSec GRE
• Mode de Transport IPSec GRE

Mode Tunnel IPSec GRE:

En mode tunnel GRE IPSec, l’ensemble du paquet GRE est encapsulé, crypté et protégé à l’intérieur du paquet IPSec. Une surcharge importante est ajoutée au paquet en mode tunnel GRE IPSec, ce qui réduit l’espace libre utilisable pour notre charge utile et peut entraîner une fragmentation accrue lors de la transmission de données via un tunnel GRE IPSec.

La structure de paquets ci-dessus montre GRE sur IPSec en mode tunnel.

Mode de transport GRE IPSec:

En mode de transport GRE IPSec, le paquet GRE est encapsulé et chiffré à l’intérieur du paquet IPSec, mais l’en-tête IP GRE est placé à l’avant et il n’est pas chiffré de la même manière qu’en mode Tunnel. Le mode de transport n’est pas une configuration par défaut et il doit être configuré à l’aide de la commande suivante sous le jeu de transformations IPSec:

Le mode de transport GRE IPSec n’est pas possible à utiliser si le tunnel cryptographique passe un périphérique utilisant la Traduction d’adresse réseau (NAT) ou la Traduction d’adresse de port (PAT). Dans ce cas, le mode Tunnel est utilisé. Le mode de transport GRE IPSec ne peut pas être utilisé si les points de terminaison du tunnel GRE et les points de terminaison du tunnel Crypto sont différents.

La structure de paquets ci-dessus montre GRE sur IPSec en mode de transport.

IPSec sur GRE

Dans IPSec sur GRE, les paquets qui ont été encapsulés à l’aide d’IPSec sont encapsulés par GRE. Dans IPSec sur GRE, le cryptage IPSec est effectué sur des interfaces tunnel. Les systèmes de l’utilisateur final détectent les flux de données qui doivent être chiffrés sur les interfaces tunnel. Un ACL est défini pour faire correspondre les flux de données entre deux segments de réseau utilisateur. Les paquets qui sont mis en correspondance avec l’ACL sont encapsulés dans des paquets IPSec, puis dans des paquets GRE avant d’être envoyés sur le tunnel. Les paquets qui ne correspondent pas à l’ACL sont directement envoyés via le tunnel GRE sans encapsulation IPSec. IPSec sur GRE supprime la surcharge supplémentaire liée au chiffrement de l’en-tête GRE.

GRE sur IPSec vs IPSec sur GRE

Téléchargez le tableau des différences ici.