Embed Size (px)
DESCRIPTION
Distribution de politiques de sécurité IPsec. F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUD IRIT/SIERA Université Paul Sabatier – Toulouse. Problématique. Problème : gestion statique à grande échelle. gestion dynamique de VPN. Politique. Niveau d’abstraction - PowerPoint PPT Presentation
Citation preview
Distribution de politiques de sécurité IPsec
F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUD
IRIT/SIERAIRIT/SIERAUniversité Paul Sabatier – ToulouseUniversité Paul Sabatier – Toulouse
Internet
Réseau privé 1
Routeur
Réseau privé 2Routeur
Problématique
Problème : gestion statique à grande échelle
gestion dynamique de VPN
Politique
• Niveau d’abstractionNiveau de détails : buts, application, réseau et
équipement
• Modèle d’informationDépend du niveau d’abstraction et de
l’utilisationEx : MIB
• Portée d’une politique
Les approches existantes
• IPSP (SPP)1 : Distribuée Soulève un certain nombre de problèmes
• Hybride2 : Correction de défauts SPP Première architecture
• Réseaux à base de politique :Standard (RFC 2753)Nouvelle approche
(1) draft-ietf-ipsp-spp-00.txt
(2) “Policy-based Hybrid Management Architecture for IP-based VPN”
• 1 administrateur gère 1 Serveur
• 1 serveur gère 1 domaine
• Distribution à la demande
SPP
Routeur
Serveur de règles
SPP
SPP
SPP
Routeur
Serveur de règles
SPP
SPP
SPP
SPP
SPP : les problèmes
Routeur
Serveur de règles
SPP
SPP
SPP
Routeur
Serveur de règles
SPP
SPP
SPP
SPP
• Distribution totale Cohérence
• SPP protocole lourd
• Domaine de sécurité inclus dans domaine IP
Hybride
Routeur
Serveur de règles
SPP
SPP
SPP
Routeur
Serveur de règles
SPP
SPP
SPP
Manager du VPN
• Ajout d’un système de gestion
permettant la vérification des règles
• Distribution par SPP ou COPS
Hybride : les problèmes
• SPP
• Domaine de sécurité
• Contrôle des administrateurs locaux
• Dialogue entre managers
Routeur
Serveur de règles
SPP
SPP
SPP
Routeur
Serveur de règles
SPP
SPP
SPP
Manager du VPN
Architecture des PBN
• Domaine d’administration
• Base de règles Règles du domaine
• PDP/PEP Juge et policier Fonctionnement
outsourcing ou provisionning
• Protocole de transaction SNMP COPS1
Base deRègles
Protocole d'accèsà la base
PEP
PDP
Protocole detransaction
PEP
Protocole detransaction
Dom
aine
d'ad
min
istra
tion
Système de gestion de politique
(1) RFC 2748
Notre architecture
INTERNET
LDAP
Domaineadministratif
LDAP LDAP
Service degestion de lapolitique de
sécurité
Domaineadministratif
PEP
PDP PDP
PEP
PEP
PEP
PEP
PIB
PIB
PIB
PIB
PIB
PIB
PIB
COPS-PR/IPsec
COPS-PR/IPsec
COPS-PR/IPsec
COPS-PR/IPsec
COPS-PR/IPsec
• LDAP : MI extensible évolution des politiques
lecture réactivité du PDP
• COPS-PR1 : sûreté
TCP
Messages de notification
sécurité (IPsec)
mode provisionnig
(1) RFC 3084
Notre architecture
INTERNET
LDAP
Domaineadministratif
LDAP LDAP
Service degestion de lapolitique de
sécurité
Domaineadministratif
PEP
PDP PDP
PEP
PEP
PEP
PEP
PIB
PIB
PIB
PIB
PIB
PIB
PIB
COPS-PR/IPsec
COPS-PR/IPsec
COPS-PR/IPsec
COPS-PR/IPsec
COPS-PR/IPsec
États d’une politique IPsec
PDP
Base derègles
PIB dudomaine
PEP
PIBlocale
SPD/SAD
Portée = domaineadministratif
Portée = ensembledes PEP connectés
Portée = équipement
Portée = équipement
Stockage de lapolitique de
niveau réseau
Distribution dela politique deniveau réseau
Stockage de lapolitique de
niveauéquipement
(1) draft-ietf-ipsp-ipsecpib-03.txt
Implémentation
Rule = Rôle de la règle
Filter : AddrSource = 192.168.1.0/24 AddrDestination = 192.168.2.0/24
Action : Type = Protect
S_Paramters : Security System = IPsec
Key Exchange : Method = IKE
Proposal : DH-Group = 2 Auth Mode =RSA-Sig Type Id Source = ID_A Type Id Dest = ID_B Hash Algo = MD5 Enc Algo = 3 DES
IPsec Transform Set : ID = 10ESP : ID = 1 Mode = Tunnel Enc Algo = 3 DES Auth Algo = MD5 Tunnel Source = x.x.x.x Tunnel Dest = y.y.y.y
FreeS/WAN
Conn test-tunnelType = tunnelAuthby = rsasig
Left = x.x.x.x
Leftid = ID_ALeftsubnet = 192.168.1.0/24Leftnexthop = ***Right = y.y.y.yRightid = ID_BRightsubnet = 192.168.2.0/24Rightnexthop = ***Keyexchange = ikeEncrypt = yesAuth = espPfs = yes
FreeS/WAN
Conn test-tunnelType = tunnelAuthby = rsasig
Left = x.x.x.x
Leftid = ID_ALeftsubnet = 192.168.1.0/24Leftnexthop = ***Right = y.y.y.yRightid = ID_BRightsubnet = 192.168.2.0/24Rightnexthop = ***Keyexchange = ikeEncrypt = yesAuth = espPfs = yes
PIB IPsec1
CISCO
Crypto isakmp policy
Encr 3deshash md5group 2Crypto ipsec transform-set tf1esp_3des esp_md5_hmacCrypto map test-tunnel 10 ipsec_isakmpset peer x.x.x.xset transform-set tf1match address 101Access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255Interface ITip address y.y.y.y…crypto map test-tunnel
CISCO
Crypto isakmp policy
Encr 3deshash md5group 2Crypto ipsec transform-set tf1esp_3des esp_md5_hmacCrypto map test-tunnel 10 ipsec_isakmpset peer x.x.x.xset transform-set tf1match address 101Access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255Interface ITip address y.y.y.y…crypto map test-tunnel
Rule = Rôle de la règle
Filter : AddrSource = 192.168.1.0/24 AddrDestination = 192.168.2.0/24
Action : Type = Protect
S_Paramters : Security System = IPsec
Key Exchange : Method = IKE
Proposal : DH-Group = 2 Auth Mode =RSA-Sig Type Id Source = ID_A Type Id Dest = ID_B Hash Algo = MD5 Enc Algo = 3 DES
IPsec Transform Set : ID = 10ESP : ID = 1 Mode = Tunnel Enc Algo = 3 DES Auth Algo = MD5 Tunnel Source = x.x.x.x Tunnel Dest = y.y.y.y
FreeS/WAN
Conn test-tunnelType = tunnelAuthby = rsasig
Left = x.x.x.x
Leftid = ID_ALeftsubnet = 192.168.1.0/24Leftnexthop = ***Right = y.y.y.yRightid = ID_BRightsubnet = 192.168.2.0/24Rightnexthop = ***Keyexchange = ikeEncrypt = yesAuth = espPfs = yes
FreeS/WAN
Conn test-tunnelType = tunnelAuthby = rsasig
Left = x.x.x.x
Leftid = ID_ALeftsubnet = 192.168.1.0/24Leftnexthop = ***Right = y.y.y.yRightid = ID_BRightsubnet = 192.168.2.0/24Rightnexthop = ***Keyexchange = ikeEncrypt = yesAuth = espPfs = yes
CISCO
Crypto isakmp policy
Encr 3deshash md5group 2Crypto ipsec transform-set tf1esp_3des esp_md5_hmacCrypto map test-tunnel 10 ipsec_isakmpset peer x.x.x.xset transform-set tf1match address 101Access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255Interface ITip address y.y.y.y…crypto map test-tunnel
CISCO
Crypto isakmp policy
Encr 3deshash md5group 2Crypto ipsec transform-set tf1esp_3des esp_md5_hmacCrypto map test-tunnel 10 ipsec_isakmpset peer x.x.x.xset transform-set tf1match address 101Access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255Interface ITip address y.y.y.y…crypto map test-tunnel
PIB IPsec1
Conclusion
• Notion de politique système de gestion multi plates-formes
• Notion de domaine administratif
flexibilité pour les entreprises
Extensions
• Définir la politique de niveau application
• Communication inter-domainesDomaines autonomes de routages
• Gestion du VPN par rapport au profil utilisateur
