Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse
Problématique Problème : gestion statique à grande échelle gestion dynamique de VPN
Politique Niveau dabstraction Niveau de détails : buts, application, réseau et équipement Modèle dinformation Dépend du niveau dabstraction et de lutilisation Ex : MIB Portée dune politique
Les approches existantes IPSP (SPP) 1 : Distribuée Soulève un certain nombre de problèmes Hybride 2 : Correction de défauts SPP Première architecture Réseaux à base de politique : Standard (RFC 2753) Nouvelle approche (1) draft-ietf-ipsp-spp-00.txt (2) Policy-based Hybrid Management Architecture for IP-based VPN
1 administrateur gère 1 Serveur 1 serveur gère 1 domaine Distribution à la demande SPP
SPP : les problèmes Distribution totale Cohérence SPP protocole lourd Domaine de sécurité inclus dans domaine IP
Hybride Ajout dun système de gestion permettant la vérification des règles Distribution par SPP ou COPS
Hybride : les problèmes SPP Domaine de sécurité Contrôle des administrateurs locaux Dialogue entre managers
Architecture des PBN Domaine dadministration Base de règles Règles du domaine PDP/PEP Juge et policier Fonctionnement outsourcing ou provisionning Protocole de transaction SNMP COPS 1 (1) RFC 2748
Notre architecture LDAP : MI extensible évolution des politiques lecture réactivité du PDP COPS-PR 1 : sûreté TCP Messages de notification sécurité (IPsec) mode provisionnig (1) RFC 3084
Notre architecture
États dune politique IPsec
(1) draft-ietf-ipsp-ipsecpib-03.txt Implémentation FreeS/WAN Conn test-tunnel Type = tunnel Authby = rsasig Left = x.x.x.x Leftid = ID_A Leftsubnet = /24 Leftnexthop = *** Right = y.y.y.y Rightid = ID_B Rightsubnet = /24 Rightnexthop = *** Keyexchange = ike Encrypt = yes Auth = esp Pfs = yes FreeS/WAN Conn test-tunnel Type = tunnel Authby = rsasig Left = x.x.x.x Leftid = ID_A Leftsubnet = /24 Leftnexthop = *** Right = y.y.y.y Rightid = ID_B Rightsubnet = /24 Rightnexthop = *** Keyexchange = ike Encrypt = yes Auth = esp Pfs = yes PIB IPsec 1 CISCO Crypto isakmp policy Encr 3des hash md5 group 2 Crypto ipsec transform-set tf1 esp_3des esp_md5_hmac Crypto map test-tunnel 10 ipsec_isakmp set peer x.x.x.x set transform-set tf1 match address 101 Access-list 101 permit ip Interface IT ip address y.y.y.y … crypto map test-tunnel CISCO Crypto isakmp policy Encr 3des hash md5 group 2 Crypto ipsec transform-set tf1 esp_3des esp_md5_hmac Crypto map test-tunnel 10 ipsec_isakmp set peer x.x.x.x set transform-set tf1 match address 101 Access-list 101 permit ip Interface IT ip address y.y.y.y … crypto map test-tunnel FreeS/WAN Conn test-tunnel Type = tunnel Authby = rsasig Left = x.x.x.x Leftid = ID_A Leftsubnet = /24 Leftnexthop = *** Right = y.y.y.y Rightid = ID_B Rightsubnet = /24 Rightnexthop = *** Keyexchange = ike Encrypt = yes Auth = esp Pfs = yes FreeS/WAN Conn test-tunnel Type = tunnel Authby = rsasig Left = x.x.x.x Leftid = ID_A Leftsubnet = /24 Leftnexthop = *** Right = y.y.y.y Rightid = ID_B Rightsubnet = /24 Rightnexthop = *** Keyexchange = ike Encrypt = yes Auth = esp Pfs = yes CISCO Crypto isakmp policy Encr 3des hash md5 group 2 Crypto ipsec transform-set tf1 esp_3des esp_md5_hmac Crypto map test-tunnel 10 ipsec_isakmp set peer x.x.x.x set transform-set tf1 match address 101 Access-list 101 permit ip Interface IT ip address y.y.y.y … crypto map test-tunnel CISCO Crypto isakmp policy Encr 3des hash md5 group 2 Crypto ipsec transform-set tf1 esp_3des esp_md5_hmac Crypto map test-tunnel 10 ipsec_isakmp set peer x.x.x.x set transform-set tf1 match address 101 Access-list 101 permit ip Interface IT ip address y.y.y.y … crypto map test-tunnel PIB IPsec 1
Conclusion Notion de politique système de gestion multi plates-formes Notion de domaine administratif flexibilité pour les entreprises
Extensions Définir la politique de niveau application Communication inter-domaines Domaines autonomes de routages Gestion du VPN par rapport au profil utilisateur