distribution de politiques de sécurité ipsec f. barrere - a. benzekri - g.grasset - r. laborde –...
TRANSCRIPT
![Page 1: Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse](https://reader036.vdocuments.mx/reader036/viewer/2022062621/551d9d8c497959293b8c0dd1/html5/thumbnails/1.jpg)
Distribution de politiques de sécurité IPsec
F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUD
IRIT/SIERAIRIT/SIERAUniversité Paul Sabatier – ToulouseUniversité Paul Sabatier – Toulouse
![Page 2: Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse](https://reader036.vdocuments.mx/reader036/viewer/2022062621/551d9d8c497959293b8c0dd1/html5/thumbnails/2.jpg)
Internet
Réseau privé 1
Routeur
Réseau privé 2Routeur
Problématique
Problème : gestion statique à grande échelle
gestion dynamique de VPN
![Page 3: Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse](https://reader036.vdocuments.mx/reader036/viewer/2022062621/551d9d8c497959293b8c0dd1/html5/thumbnails/3.jpg)
Politique
• Niveau d’abstractionNiveau de détails : buts, application, réseau et
équipement
• Modèle d’informationDépend du niveau d’abstraction et de
l’utilisationEx : MIB
• Portée d’une politique
![Page 4: Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse](https://reader036.vdocuments.mx/reader036/viewer/2022062621/551d9d8c497959293b8c0dd1/html5/thumbnails/4.jpg)
Les approches existantes
• IPSP (SPP)1 : Distribuée Soulève un certain nombre de problèmes
• Hybride2 : Correction de défauts SPP Première architecture
• Réseaux à base de politique :Standard (RFC 2753)Nouvelle approche
(1) draft-ietf-ipsp-spp-00.txt
(2) “Policy-based Hybrid Management Architecture for IP-based VPN”
![Page 5: Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse](https://reader036.vdocuments.mx/reader036/viewer/2022062621/551d9d8c497959293b8c0dd1/html5/thumbnails/5.jpg)
• 1 administrateur gère 1 Serveur
• 1 serveur gère 1 domaine
• Distribution à la demande
SPP
Routeur
Serveur de règles
SPP
SPP
SPP
Routeur
Serveur de règles
SPP
SPP
SPP
SPP
![Page 6: Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse](https://reader036.vdocuments.mx/reader036/viewer/2022062621/551d9d8c497959293b8c0dd1/html5/thumbnails/6.jpg)
SPP : les problèmes
Routeur
Serveur de règles
SPP
SPP
SPP
Routeur
Serveur de règles
SPP
SPP
SPP
SPP
• Distribution totale Cohérence
• SPP protocole lourd
• Domaine de sécurité inclus dans domaine IP
![Page 7: Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse](https://reader036.vdocuments.mx/reader036/viewer/2022062621/551d9d8c497959293b8c0dd1/html5/thumbnails/7.jpg)
Hybride
Routeur
Serveur de règles
SPP
SPP
SPP
Routeur
Serveur de règles
SPP
SPP
SPP
Manager du VPN
• Ajout d’un système de gestion
permettant la vérification des règles
• Distribution par SPP ou COPS
![Page 8: Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse](https://reader036.vdocuments.mx/reader036/viewer/2022062621/551d9d8c497959293b8c0dd1/html5/thumbnails/8.jpg)
Hybride : les problèmes
• SPP
• Domaine de sécurité
• Contrôle des administrateurs locaux
• Dialogue entre managers
Routeur
Serveur de règles
SPP
SPP
SPP
Routeur
Serveur de règles
SPP
SPP
SPP
Manager du VPN
![Page 9: Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse](https://reader036.vdocuments.mx/reader036/viewer/2022062621/551d9d8c497959293b8c0dd1/html5/thumbnails/9.jpg)
Architecture des PBN
• Domaine d’administration
• Base de règles Règles du domaine
• PDP/PEP Juge et policier Fonctionnement
outsourcing ou provisionning
• Protocole de transaction SNMP COPS1
Base deRègles
Protocole d'accèsà la base
PEP
PDP
Protocole detransaction
PEP
Protocole detransaction
Dom
aine
d'ad
min
istra
tion
Système de gestion de politique
(1) RFC 2748
![Page 10: Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse](https://reader036.vdocuments.mx/reader036/viewer/2022062621/551d9d8c497959293b8c0dd1/html5/thumbnails/10.jpg)
Notre architecture
INTERNET
LDAP
Domaineadministratif
LDAP LDAP
Service degestion de lapolitique de
sécurité
Domaineadministratif
PEP
PDP PDP
PEP
PEP
PEP
PEP
PIB
PIB
PIB
PIB
PIB
PIB
PIB
COPS-PR/IPsec
COPS-PR/IPsec
COPS-PR/IPsec
COPS-PR/IPsec
COPS-PR/IPsec
• LDAP : MI extensible évolution des politiques
lecture réactivité du PDP
• COPS-PR1 : sûreté
TCP
Messages de notification
sécurité (IPsec)
mode provisionnig
(1) RFC 3084
![Page 11: Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse](https://reader036.vdocuments.mx/reader036/viewer/2022062621/551d9d8c497959293b8c0dd1/html5/thumbnails/11.jpg)
Notre architecture
INTERNET
LDAP
Domaineadministratif
LDAP LDAP
Service degestion de lapolitique de
sécurité
Domaineadministratif
PEP
PDP PDP
PEP
PEP
PEP
PEP
PIB
PIB
PIB
PIB
PIB
PIB
PIB
COPS-PR/IPsec
COPS-PR/IPsec
COPS-PR/IPsec
COPS-PR/IPsec
COPS-PR/IPsec
![Page 12: Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse](https://reader036.vdocuments.mx/reader036/viewer/2022062621/551d9d8c497959293b8c0dd1/html5/thumbnails/12.jpg)
États d’une politique IPsec
PDP
Base derègles
PIB dudomaine
PEP
PIBlocale
SPD/SAD
Portée = domaineadministratif
Portée = ensembledes PEP connectés
Portée = équipement
Portée = équipement
Stockage de lapolitique de
niveau réseau
Distribution dela politique deniveau réseau
Stockage de lapolitique de
niveauéquipement
![Page 13: Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse](https://reader036.vdocuments.mx/reader036/viewer/2022062621/551d9d8c497959293b8c0dd1/html5/thumbnails/13.jpg)
(1) draft-ietf-ipsp-ipsecpib-03.txt
Implémentation
Rule = Rôle de la règle
Filter : AddrSource = 192.168.1.0/24 AddrDestination = 192.168.2.0/24
Action : Type = Protect
S_Paramters : Security System = IPsec
Key Exchange : Method = IKE
Proposal : DH-Group = 2 Auth Mode =RSA-Sig Type Id Source = ID_A Type Id Dest = ID_B Hash Algo = MD5 Enc Algo = 3 DES
IPsec Transform Set : ID = 10ESP : ID = 1 Mode = Tunnel Enc Algo = 3 DES Auth Algo = MD5 Tunnel Source = x.x.x.x Tunnel Dest = y.y.y.y
FreeS/WAN
Conn test-tunnelType = tunnelAuthby = rsasig
Left = x.x.x.x
Leftid = ID_ALeftsubnet = 192.168.1.0/24Leftnexthop = ***Right = y.y.y.yRightid = ID_BRightsubnet = 192.168.2.0/24Rightnexthop = ***Keyexchange = ikeEncrypt = yesAuth = espPfs = yes
FreeS/WAN
Conn test-tunnelType = tunnelAuthby = rsasig
Left = x.x.x.x
Leftid = ID_ALeftsubnet = 192.168.1.0/24Leftnexthop = ***Right = y.y.y.yRightid = ID_BRightsubnet = 192.168.2.0/24Rightnexthop = ***Keyexchange = ikeEncrypt = yesAuth = espPfs = yes
PIB IPsec1
CISCO
Crypto isakmp policy
Encr 3deshash md5group 2Crypto ipsec transform-set tf1esp_3des esp_md5_hmacCrypto map test-tunnel 10 ipsec_isakmpset peer x.x.x.xset transform-set tf1match address 101Access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255Interface ITip address y.y.y.y…crypto map test-tunnel
CISCO
Crypto isakmp policy
Encr 3deshash md5group 2Crypto ipsec transform-set tf1esp_3des esp_md5_hmacCrypto map test-tunnel 10 ipsec_isakmpset peer x.x.x.xset transform-set tf1match address 101Access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255Interface ITip address y.y.y.y…crypto map test-tunnel
Rule = Rôle de la règle
Filter : AddrSource = 192.168.1.0/24 AddrDestination = 192.168.2.0/24
Action : Type = Protect
S_Paramters : Security System = IPsec
Key Exchange : Method = IKE
Proposal : DH-Group = 2 Auth Mode =RSA-Sig Type Id Source = ID_A Type Id Dest = ID_B Hash Algo = MD5 Enc Algo = 3 DES
IPsec Transform Set : ID = 10ESP : ID = 1 Mode = Tunnel Enc Algo = 3 DES Auth Algo = MD5 Tunnel Source = x.x.x.x Tunnel Dest = y.y.y.y
FreeS/WAN
Conn test-tunnelType = tunnelAuthby = rsasig
Left = x.x.x.x
Leftid = ID_ALeftsubnet = 192.168.1.0/24Leftnexthop = ***Right = y.y.y.yRightid = ID_BRightsubnet = 192.168.2.0/24Rightnexthop = ***Keyexchange = ikeEncrypt = yesAuth = espPfs = yes
FreeS/WAN
Conn test-tunnelType = tunnelAuthby = rsasig
Left = x.x.x.x
Leftid = ID_ALeftsubnet = 192.168.1.0/24Leftnexthop = ***Right = y.y.y.yRightid = ID_BRightsubnet = 192.168.2.0/24Rightnexthop = ***Keyexchange = ikeEncrypt = yesAuth = espPfs = yes
CISCO
Crypto isakmp policy
Encr 3deshash md5group 2Crypto ipsec transform-set tf1esp_3des esp_md5_hmacCrypto map test-tunnel 10 ipsec_isakmpset peer x.x.x.xset transform-set tf1match address 101Access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255Interface ITip address y.y.y.y…crypto map test-tunnel
CISCO
Crypto isakmp policy
Encr 3deshash md5group 2Crypto ipsec transform-set tf1esp_3des esp_md5_hmacCrypto map test-tunnel 10 ipsec_isakmpset peer x.x.x.xset transform-set tf1match address 101Access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255Interface ITip address y.y.y.y…crypto map test-tunnel
PIB IPsec1
![Page 14: Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse](https://reader036.vdocuments.mx/reader036/viewer/2022062621/551d9d8c497959293b8c0dd1/html5/thumbnails/14.jpg)
Conclusion
• Notion de politique système de gestion multi plates-formes
• Notion de domaine administratif
flexibilité pour les entreprises
![Page 15: Distribution de politiques de sécurité IPsec F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE – Y. RAYNAUDIRIT/SIERA Université Paul Sabatier – Toulouse](https://reader036.vdocuments.mx/reader036/viewer/2022062621/551d9d8c497959293b8c0dd1/html5/thumbnails/15.jpg)
Extensions
• Définir la politique de niveau application
• Communication inter-domainesDomaines autonomes de routages
• Gestion du VPN par rapport au profil utilisateur