Distribution de politiques de sécurité IPsec

1. Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUD IRIT/SIERA Université Paul Sabatier – Toulouse

2. Problématique Problème : gestion statique à grande échelle gestion dynamique de VPN

3. Politique • Niveau d’abstraction • Niveau de détails : buts, application, réseau et équipement • Modèle d’information • Dépend du niveau d’abstraction et de l’utilisation • Ex : MIB • Portée d’une politique

4. Les approches existantes • IPSP (SPP)1 : • Distribuée • Soulève un certain nombre de problèmes • Hybride2 : • Correction de défauts SPP • Première architecture • Réseaux à base de politique : • Standard (RFC 2753) • Nouvelle approche (1) draft-ietf-ipsp-spp-00.txt (2) “Policy-based Hybrid Management Architecture for IP-based VPN”

5. SPP • 1 administrateur gère 1 Serveur • 1 serveur gère 1 domaine • Distribution à la demande

6. SPP : les problèmes • Distribution totale • Cohérence • SPP protocole lourd • Domaine de sécurité • inclus dans domaine IP

7. Hybride • Ajout d’un système de gestion • permettant la vérification des règles • Distribution par SPP ou COPS

8. Hybride : les problèmes • SPP • Domaine de sécurité • Contrôle des administrateurs locaux • Dialogue entre managers

9. Architecture des PBN • Domaine d’administration • Base de règles • Règles du domaine • PDP/PEP • Juge et policier • Fonctionnement outsourcing ou provisionning • Protocole de transaction • SNMP • COPS1 (1) RFC 2748

10. Notre architecture • LDAP : • MI extensible  évolution des politiques • lecture  réactivité du PDP • COPS-PR1 : • sûreté • TCP • Messages de notification • sécurité (IPsec) • mode provisionnig (1) RFC 3084

11. Notre architecture

12. États d’une politique IPsec

13. PIB IPsec1 PIB IPsec1 Implémentation CISCO Crypto isakmp policy Encr 3des hash md5 group 2 Crypto ipsec transform-set tf1 esp_3des esp_md5_hmac Crypto map test-tunnel 10 ipsec_isakmp set peer x.x.x.x set transform-set tf1 match address 101 Access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 Interface IT ip address y.y.y.y … crypto map test-tunnel FreeS/WAN Conn test-tunnel Type = tunnel Authby = rsasig Left = x.x.x.x Leftid = ID_A Leftsubnet = 192.168.1.0/24 Leftnexthop = *** Right = y.y.y.y Rightid = ID_B Rightsubnet = 192.168.2.0/24 Rightnexthop = *** Keyexchange = ike Encrypt = yes Auth = esp Pfs = yes CISCO Crypto isakmp policy Encr 3des hash md5 group 2 Crypto ipsec transform-set tf1 esp_3des esp_md5_hmac Crypto map test-tunnel 10 ipsec_isakmp set peer x.x.x.x set transform-set tf1 match address 101 Access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 Interface IT ip address y.y.y.y … crypto map test-tunnel FreeS/WAN Conn test-tunnel Type = tunnel Authby = rsasig Left = x.x.x.x Leftid = ID_A Leftsubnet = 192.168.1.0/24 Leftnexthop = *** Right = y.y.y.y Rightid = ID_B Rightsubnet = 192.168.2.0/24 Rightnexthop = *** Keyexchange = ike Encrypt = yes Auth = esp Pfs = yes (1) draft-ietf-ipsp-ipsecpib-03.txt

14. Conclusion • Notion de politique  système de gestion multi plates-formes • Notion de domaine administratif  flexibilité pour les entreprises

15. Extensions • Définir la politique de niveau application • Communication inter-domaines • Domaines autonomes de routages • Gestion du VPN par rapport au profil utilisateur