La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse.

Présentations similaires


Présentation au sujet: "Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse."— Transcription de la présentation:

1 Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse

2 Problématique Problème : gestion statique à grande échelle gestion dynamique de VPN

3 Politique Niveau dabstraction Niveau de détails : buts, application, réseau et équipement Modèle dinformation Dépend du niveau dabstraction et de lutilisation Ex : MIB Portée dune politique

4 Les approches existantes IPSP (SPP) 1 : Distribuée Soulève un certain nombre de problèmes Hybride 2 : Correction de défauts SPP Première architecture Réseaux à base de politique : Standard (RFC 2753) Nouvelle approche (1) draft-ietf-ipsp-spp-00.txt (2) Policy-based Hybrid Management Architecture for IP-based VPN

5 1 administrateur gère 1 Serveur 1 serveur gère 1 domaine Distribution à la demande SPP

6 SPP : les problèmes Distribution totale Cohérence SPP protocole lourd Domaine de sécurité inclus dans domaine IP

7 Hybride Ajout dun système de gestion permettant la vérification des règles Distribution par SPP ou COPS

8 Hybride : les problèmes SPP Domaine de sécurité Contrôle des administrateurs locaux Dialogue entre managers

9 Architecture des PBN Domaine dadministration Base de règles Règles du domaine PDP/PEP Juge et policier Fonctionnement outsourcing ou provisionning Protocole de transaction SNMP COPS 1 (1) RFC 2748

10 Notre architecture LDAP : MI extensible évolution des politiques lecture réactivité du PDP COPS-PR 1 : sûreté TCP Messages de notification sécurité (IPsec) mode provisionnig (1) RFC 3084

11 Notre architecture

12 États dune politique IPsec

13 (1) draft-ietf-ipsp-ipsecpib-03.txt Implémentation FreeS/WAN Conn test-tunnel Type = tunnel Authby = rsasig Left = x.x.x.x Leftid = ID_A Leftsubnet = /24 Leftnexthop = *** Right = y.y.y.y Rightid = ID_B Rightsubnet = /24 Rightnexthop = *** Keyexchange = ike Encrypt = yes Auth = esp Pfs = yes FreeS/WAN Conn test-tunnel Type = tunnel Authby = rsasig Left = x.x.x.x Leftid = ID_A Leftsubnet = /24 Leftnexthop = *** Right = y.y.y.y Rightid = ID_B Rightsubnet = /24 Rightnexthop = *** Keyexchange = ike Encrypt = yes Auth = esp Pfs = yes PIB IPsec 1 CISCO Crypto isakmp policy Encr 3des hash md5 group 2 Crypto ipsec transform-set tf1 esp_3des esp_md5_hmac Crypto map test-tunnel 10 ipsec_isakmp set peer x.x.x.x set transform-set tf1 match address 101 Access-list 101 permit ip Interface IT ip address y.y.y.y … crypto map test-tunnel CISCO Crypto isakmp policy Encr 3des hash md5 group 2 Crypto ipsec transform-set tf1 esp_3des esp_md5_hmac Crypto map test-tunnel 10 ipsec_isakmp set peer x.x.x.x set transform-set tf1 match address 101 Access-list 101 permit ip Interface IT ip address y.y.y.y … crypto map test-tunnel FreeS/WAN Conn test-tunnel Type = tunnel Authby = rsasig Left = x.x.x.x Leftid = ID_A Leftsubnet = /24 Leftnexthop = *** Right = y.y.y.y Rightid = ID_B Rightsubnet = /24 Rightnexthop = *** Keyexchange = ike Encrypt = yes Auth = esp Pfs = yes FreeS/WAN Conn test-tunnel Type = tunnel Authby = rsasig Left = x.x.x.x Leftid = ID_A Leftsubnet = /24 Leftnexthop = *** Right = y.y.y.y Rightid = ID_B Rightsubnet = /24 Rightnexthop = *** Keyexchange = ike Encrypt = yes Auth = esp Pfs = yes CISCO Crypto isakmp policy Encr 3des hash md5 group 2 Crypto ipsec transform-set tf1 esp_3des esp_md5_hmac Crypto map test-tunnel 10 ipsec_isakmp set peer x.x.x.x set transform-set tf1 match address 101 Access-list 101 permit ip Interface IT ip address y.y.y.y … crypto map test-tunnel CISCO Crypto isakmp policy Encr 3des hash md5 group 2 Crypto ipsec transform-set tf1 esp_3des esp_md5_hmac Crypto map test-tunnel 10 ipsec_isakmp set peer x.x.x.x set transform-set tf1 match address 101 Access-list 101 permit ip Interface IT ip address y.y.y.y … crypto map test-tunnel PIB IPsec 1

14 Conclusion Notion de politique système de gestion multi plates-formes Notion de domaine administratif flexibilité pour les entreprises

15 Extensions Définir la politique de niveau application Communication inter-domaines Domaines autonomes de routages Gestion du VPN par rapport au profil utilisateur


Télécharger ppt "Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse."

Présentations similaires


Annonces Google