Distribution de politiques de s curit ipsec
This presentation is the property of its rightful owner.
Sponsored Links
1 / 15

Distribution de politiques de sécurité IPsec PowerPoint PPT Presentation


  • 58 Views
  • Uploaded on
  • Presentation posted in: General

Distribution de politiques de sécurité IPsec. F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUD IRIT/SIERA Université Paul Sabatier – Toulouse. Problématique. Problème : gestion statique à grande échelle. gestion dynamique de VPN. Politique. Niveau d’abstraction

Download Presentation

Distribution de politiques de sécurité IPsec

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Distribution de politiques de s curit ipsec

Distribution de politiques de sécurité IPsec

F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUD

IRIT/SIERA

Université Paul Sabatier – Toulouse


Probl matique

Problématique

Problème : gestion statique à grande échelle

gestion dynamique de VPN


Politique

Politique

  • Niveau d’abstraction

    • Niveau de détails : buts, application, réseau et équipement

  • Modèle d’information

    • Dépend du niveau d’abstraction et de l’utilisation

    • Ex : MIB

  • Portée d’une politique


Les approches existantes

Les approches existantes

  • IPSP (SPP)1 :

    • Distribuée

    • Soulève un certain nombre de problèmes

  • Hybride2 :

    • Correction de défauts SPP

    • Première architecture

  • Réseaux à base de politique :

    • Standard (RFC 2753)

    • Nouvelle approche

(1) draft-ietf-ipsp-spp-00.txt

(2) “Policy-based Hybrid Management Architecture for IP-based VPN”


Distribution de politiques de s curit ipsec

SPP

  • 1 administrateur gère 1 Serveur

  • 1 serveur gère 1 domaine

  • Distribution à la demande


Spp les probl mes

SPP : les problèmes

  • Distribution totale

    • Cohérence

  • SPP protocole lourd

  • Domaine de sécurité

    • inclus dans domaine IP


Hybride

Hybride

  • Ajout d’un système de gestion

  • permettant la vérification des règles

  • Distribution par SPP ou COPS


Hybride les probl mes

Hybride : les problèmes

  • SPP

  • Domaine de sécurité

  • Contrôle des administrateurs locaux

  • Dialogue entre managers


Architecture des pbn

Architecture des PBN

  • Domaine d’administration

  • Base de règles

    • Règles du domaine

  • PDP/PEP

    • Juge et policier

    • Fonctionnement outsourcing ou provisionning

  • Protocole de transaction

    • SNMP

    • COPS1

(1) RFC 2748


Notre architecture

Notre architecture

  • LDAP :

    • MI extensible  évolution des politiques

    • lecture  réactivité du PDP

  • COPS-PR1 :

    • sûreté

      • TCP

      • Messages de notification

    • sécurité (IPsec)

    • mode provisionnig

(1) RFC 3084


Notre architecture1

Notre architecture


Tats d une politique ipsec

États d’une politique IPsec


Impl mentation

PIB IPsec1

PIB IPsec1

Implémentation

CISCO

Crypto isakmp policy

Encr 3des

hash md5

group 2

Crypto ipsec transform-set tf1

esp_3des esp_md5_hmac

Crypto map test-tunnel 10 ipsec_isakmp

set peer x.x.x.x

set transform-set tf1

match address 101

Access-list 101 permit ip 192.168.2.0 0.0.0.255

192.168.1.0 0.0.0.255

Interface IT

ip address y.y.y.y

crypto map test-tunnel

FreeS/WAN

Conn test-tunnel

Type = tunnel

Authby = rsasig

Left = x.x.x.x

Leftid = ID_A

Leftsubnet = 192.168.1.0/24

Leftnexthop = ***

Right = y.y.y.y

Rightid = ID_B

Rightsubnet = 192.168.2.0/24

Rightnexthop = ***

Keyexchange = ike

Encrypt = yes

Auth = esp

Pfs = yes

CISCO

Crypto isakmp policy

Encr 3des

hash md5

group 2

Crypto ipsec transform-set tf1

esp_3des esp_md5_hmac

Crypto map test-tunnel 10 ipsec_isakmp

set peer x.x.x.x

set transform-set tf1

match address 101

Access-list 101 permit ip 192.168.2.0 0.0.0.255

192.168.1.0 0.0.0.255

Interface IT

ip address y.y.y.y

crypto map test-tunnel

FreeS/WAN

Conn test-tunnel

Type = tunnel

Authby = rsasig

Left = x.x.x.x

Leftid = ID_A

Leftsubnet = 192.168.1.0/24

Leftnexthop = ***

Right = y.y.y.y

Rightid = ID_B

Rightsubnet = 192.168.2.0/24

Rightnexthop = ***

Keyexchange = ike

Encrypt = yes

Auth = esp

Pfs = yes

(1) draft-ietf-ipsp-ipsecpib-03.txt


Conclusion

Conclusion

  • Notion de politique  système de gestion multi plates-formes

  • Notion de domaine administratif

     flexibilité pour les entreprises


Extensions

Extensions

  • Définir la politique de niveau application

  • Communication inter-domaines

    • Domaines autonomes de routages

  • Gestion du VPN par rapport au profil utilisateur


  • Login