distribution de politiques de s curit ipsec
Download
Skip this Video
Download Presentation
Distribution de politiques de sécurité IPsec

Loading in 2 Seconds...

play fullscreen
1 / 15

Distribution de politiques de sécurité IPsec - PowerPoint PPT Presentation


  • 82 Views
  • Uploaded on

Distribution de politiques de sécurité IPsec. F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUD IRIT/SIERA Université Paul Sabatier – Toulouse. Problématique. Problème : gestion statique à grande échelle. gestion dynamique de VPN. Politique. Niveau d’abstraction

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Distribution de politiques de sécurité IPsec' - warren-wynn


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
distribution de politiques de s curit ipsec

Distribution de politiques de sécurité IPsec

F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUD

IRIT/SIERA

Université Paul Sabatier – Toulouse

probl matique
Problématique

Problème : gestion statique à grande échelle

gestion dynamique de VPN

politique
Politique
  • Niveau d’abstraction
    • Niveau de détails : buts, application, réseau et équipement
  • Modèle d’information
    • Dépend du niveau d’abstraction et de l’utilisation
    • Ex : MIB
  • Portée d’une politique
les approches existantes
Les approches existantes
  • IPSP (SPP)1 :
    • Distribuée
    • Soulève un certain nombre de problèmes
  • Hybride2 :
    • Correction de défauts SPP
    • Première architecture
  • Réseaux à base de politique :
    • Standard (RFC 2753)
    • Nouvelle approche

(1) draft-ietf-ipsp-spp-00.txt

(2) “Policy-based Hybrid Management Architecture for IP-based VPN”

slide5
SPP
  • 1 administrateur gère 1 Serveur
  • 1 serveur gère 1 domaine
  • Distribution à la demande
spp les probl mes
SPP : les problèmes
  • Distribution totale
    • Cohérence
  • SPP protocole lourd
  • Domaine de sécurité
    • inclus dans domaine IP
hybride
Hybride
  • Ajout d’un système de gestion
  • permettant la vérification des règles
  • Distribution par SPP ou COPS
hybride les probl mes
Hybride : les problèmes
  • SPP
  • Domaine de sécurité
  • Contrôle des administrateurs locaux
  • Dialogue entre managers
architecture des pbn
Architecture des PBN
  • Domaine d’administration
  • Base de règles
    • Règles du domaine
  • PDP/PEP
    • Juge et policier
    • Fonctionnement outsourcing ou provisionning
  • Protocole de transaction
    • SNMP
    • COPS1

(1) RFC 2748

notre architecture
Notre architecture
  • LDAP :
    • MI extensible  évolution des politiques
    • lecture  réactivité du PDP
  • COPS-PR1 :
    • sûreté
      • TCP
      • Messages de notification
    • sécurité (IPsec)
    • mode provisionnig

(1) RFC 3084

impl mentation
PIB IPsec1

PIB IPsec1

Implémentation

CISCO

Crypto isakmp policy

Encr 3des

hash md5

group 2

Crypto ipsec transform-set tf1

esp_3des esp_md5_hmac

Crypto map test-tunnel 10 ipsec_isakmp

set peer x.x.x.x

set transform-set tf1

match address 101

Access-list 101 permit ip 192.168.2.0 0.0.0.255

192.168.1.0 0.0.0.255

Interface IT

ip address y.y.y.y

crypto map test-tunnel

FreeS/WAN

Conn test-tunnel

Type = tunnel

Authby = rsasig

Left = x.x.x.x

Leftid = ID_A

Leftsubnet = 192.168.1.0/24

Leftnexthop = ***

Right = y.y.y.y

Rightid = ID_B

Rightsubnet = 192.168.2.0/24

Rightnexthop = ***

Keyexchange = ike

Encrypt = yes

Auth = esp

Pfs = yes

CISCO

Crypto isakmp policy

Encr 3des

hash md5

group 2

Crypto ipsec transform-set tf1

esp_3des esp_md5_hmac

Crypto map test-tunnel 10 ipsec_isakmp

set peer x.x.x.x

set transform-set tf1

match address 101

Access-list 101 permit ip 192.168.2.0 0.0.0.255

192.168.1.0 0.0.0.255

Interface IT

ip address y.y.y.y

crypto map test-tunnel

FreeS/WAN

Conn test-tunnel

Type = tunnel

Authby = rsasig

Left = x.x.x.x

Leftid = ID_A

Leftsubnet = 192.168.1.0/24

Leftnexthop = ***

Right = y.y.y.y

Rightid = ID_B

Rightsubnet = 192.168.2.0/24

Rightnexthop = ***

Keyexchange = ike

Encrypt = yes

Auth = esp

Pfs = yes

(1) draft-ietf-ipsp-ipsecpib-03.txt

conclusion
Conclusion
  • Notion de politique  système de gestion multi plates-formes
  • Notion de domaine administratif

 flexibilité pour les entreprises

extensions
Extensions
  • Définir la politique de niveau application
  • Communication inter-domaines
    • Domaines autonomes de routages
  • Gestion du VPN par rapport au profil utilisateur
ad