Séminaire 22-23 Novembre 2006. Sphynx Historique (1) Sphynx 1.0 Sortie debut 2003 Même base que l'Amon-1.5 Utilisation freeswan-1.99 Générateur de configuration.

Slides:



Advertisements
Présentations similaires
LE PARE-FEU AMON. MAI 2002.
Advertisements

GCstar Gestionnaire de collections personnelles Christian Jodar (Tian)
Séminaire EOLE Dijon Octobre 2008 Eole SSO.
Les Logiciels Libres en pratique Samedi 25 mars 2006 Toulibre
LES FONCTIONS D'UN SYSTEME D'EXPLOITATION ● Le système d'exploitation contrôle entièrement les ressources matérielles locales. ● Il est responsable de.
Séminaire EOLE Dijon Octobre 2008 Panorama Eole NG.
Séminaire EOLE Beaune Septembre 2007 SPHYNX NG.
SRT3 VPN. ● Réseau privé virtuel (VPN ou Virtual Private Network) ● Rattacher deux réseaux locaux à travers un réseau non- sécurisé ● Procure même sécurité.
Soutenance TP Réseau Sujet 10 Plateforme de commutation multi-niveaux Catalyst 8540 Gilles Bricier & Paul ChauchisFévrier 2006.
1 Administration ESCO-Portail Les environnements numériques de travail Administration du socle de l'ENT Les applications.
Séminaire Novembre Outils de diagnostic réseau (O.D.R)
Séminaire Novembre 2006 Séminaire Novembre 2006 Bilan et perspectives.
V.1a E. Berera1 IPv6 IPv6 et la sécurité: Gestion des clés Objectif: Comment distribuer les clés.
Solidarités et réussites Académie de Créteil EnvOLE et Scribe NG déploiement dans l'académie de Créteil Séminaire Eole 25 septembre 2007.
Séminaire EOLE Beaune Septembre 2007 AMON NG.
Vers les usages... Le projet EnvOLE séminaire EOLE novembre 2006, Dijon Accueil Orientations Architecture Socle > EnvOLE Services > Centre de ressources.
Séminaire Novembre ERA Editeur de Regles pour Amon.
Séminaire EOLE DIJON 19 et 20 Octobre 2010 Eole 2.3, tour d'horizon.
- Formation ActiveMQ 1 1.
Séminaire EOLE Dijon octobre 2008 Migration Eole.
P.1 Mémoire de fin d’études Responsable en Ingénierie Réseaux Guillaume Jeanney Mise en place d’une solution de supervision LOGO ENTREPRISE.
Scribe Serveur pédagogique Séminaire octobre 2009.
WIKITTY Base de données orientée documents et API de persistance pour Java.
Séminaire Novembre 2006 Réseau EOLE pour l'établissement.
– NAT et PAT - 1.
Séminaire EOLE Beaune Septembre 2007
Couche 3.
Chapitre10 Prise en charge des utilisateurs distants
Journées trimestrielles du 30 mars 1999
Solutions EOLE pour les ENR
Ensemble de services.
L’IPv6.
Collecte des Organismes de Titrisation Réunion avec la profession
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
CCNP Réseau de Campus Concepts et Modèles cch_ccnp.
Examen Final Sécurité - TRCT Cfi_CCH.
Réf. CS&S/ISE/DFC/TES,xxxx/-/02
Firewall Pfsense / Ipcop / Amon Présentation des firewalls
Tunnel pour paquets IP Multicast
Séminaire Novembre 2006 Zephir : Déploiement et supervision des serveurs Eole.
Séminaire EOLE Beaune Septembre 2007
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
Refonte de l’Atlas-Catalogue Sandre
Journée du 19/01/2001 Département Support Agence de Modernisation des
Séminaire EOLE Dijon Octobre 2010
show ip nat translations
Mise en place d’un serveur DHCP
Sous-résaux LAN dupliqués
TP Sécurité - IOS Firewall - Configuration de base d'un site avec SDM
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Séminaire EOLE Dijon Octobre 2008
évolutions et perspectives
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
RIP - Configuration des Extensions.
Séminaire EOLE Beaune Septembre 2007
Séminaire EOLE Beaune Septembre 2007
entre trois routeurs utilisant des
Configuration de groupes l'autorisation via ASDM
Cours VI – Cryptographie symétrique
2018/8/9 CLAP Cluster de virtualisation et de stockage distribué du LAPP Mardi 26 avril 2016 Entrez votre nom.
Présentation OCS-Inventory au LAPP
Windows Server 2012 Objectifs
Serveur FTP Serveur OPENVPN Remote OPENVPN Zone OUTSIDE Zone DMZ AS A Tunnel VPN / /24 Configuration les Interfaces et Routage.
A. DAAIF ENSET Mohammedia Université Hassan II Casablanca.
1 IPSec : IP Security Protocole fournissant un mécanisme de sécurisation au niveau IP. RFC 2401 concernant IPSEC RFC 2402 concernant le mode AH (authentification)
Remote Authentication Dial In User Service RADIUS GAUTHIER Julien.
Présentation PISTE pour les partenaires raccordés en API
Les VLANs Virtual Local Area Network Guillaume Le Grand IR3 – Ingénieurs 2000.
Transcription de la présentation:

Séminaire Novembre 2006

Sphynx

Historique (1) Sphynx 1.0 Sortie debut 2003 Même base que l'Amon-1.5 Utilisation freeswan-1.99 Générateur de configuration vpn en XML Conforme au cahier des charges AGRIATES possibilité de ne monter qu'un seul tunnel avec un Amon

Historique (2) Sphynx-1.1 Sortie debut 2004 en beta. Basé sur une Mdk 9.1. Au départ, pas d'évolution fonctionnelles puis, Intégration de la gestion multi-tunnels vers Amon. Passage à super-freeswan. Prise en compte du nat traversal. gestion des adresses privées entre un Amon et un routeur. Ajout des produits permettant de gérer la haute disponibilité. Ajout d'outils permettant de gérer le routage dynamique. Évolutions noyau.

Bilan actuel Une cinquantaine de Sphynx déployés. Produit vieillissant : problème de renouvellement des tunnels bloqués. Lenteurs lors de la génération des fichiers de configuration (lié au nombre de tunnels). Problèmes de stabilité ? Plus de possibilités d'évolution. Plus de mise à jour de sécurité.

Sphynx NG (1) Version 1.98 livrée en juin 2006 en version Alpha Basée sur une distribution Sourcemage Passage sur un noyau 2.6 Couche ipsec intégrée au Noyau. Abandon de Freeswan au profit de Strongswan. Nouveau système de templates Eole. Niveau fonctionnel quasi identique. Actuellement, finalisation de la migration sur Ubuntu.

Strongswan (1) Projet basé sur les dernières versions de freeswan Intègre la gestion des certificats X509 v3 Support des tokens, smartCards... Meilleure prise en compte des crls. Récupération et cache local des crls via http et ldap. Support complet du protocole ocsp (Online Certificate Status Protocol). Récupération automatique des crls (si champ URI présent dans le certificat). Sphynx NG (2)

Strongswan (2) Gestion de la politique de sécurité ipsec étendue pouvant- être basée sur : des CA intermédiaires et des wildcards. des groupes avec des attributs de certificats. des ports ou des groupes de ports. des ip ou des plages d'ip. Insertion et suppression automatiques des règles de firewall. Meilleure prise en compte des algorithmes de crypto aes (jusqu'à 512), blowfish, towfish, serpent... Meilleur support du nat traversal. Sphynx NG (3)

Strongswan (3) Intégration complète du Dead Peer Detection. Commande permettant le démarrage et renouvellement des connexions plus rapidement. Gestion statique et dynamique (en pull ou en push) des ip virtuelles. Sphynx NG (4)

Évolutions Au niveau de la configuration : Intégration et gestion de la haute disponibilité (sans répartition de charge). Gestion des vlans, des ip virtuels, des routes. Intégration de la configuration du routage dynamique. Au niveau du générateur : Refonte totale de l'interface. Interaction beaucoup plus forte avec Zephir. Passe par une redéfinition préalable des besoins. Sphynx NG (5)

Autres évolutions possibles : Prise en charge ipv6. Prise en charge mpls. Qualitée de service.... Sphynx NG (6)

Nouveaux dictionnaires (1)

Nouveaux dictionnaires (2) Fichier dictionnaire en XML

Nouveaux dictionnaires (3) sphynx monreseau.lan

Nouveaux dictionnaires (4) adresse_ip_int0 adresse_netmask_int0 ['non','maitre','esclave']

Nouveaux dictionnaires (5)

Nouveaux dictionnaires (6)

Nouveaux dictionnaires (7) Exemple d'un fichier de configuration : %if %ssh_int0 == "oui" %for %reseau_ssh0 in %ip_ssh_int0 %if %reseau_ssh0.netmask_ssh_int0 == " " sshd:%reseau_ssh0 %else if %reseau_ssh0.netmask_ssh_int0 != " " sshd:%reseau_ssh0/%reseau_ssh0.netmask_ssh_int0 %end if %end for %end if