Distribution de politiques de s - PowerPoint PPT Presentation
1 / 15
Title:
Distribution de politiques de s
Description:
Niveau de d tails : buts, application, r seau et quipement ... Notion de domaine administratif. flexibilit pour les entreprises. Extensions. D finir la ... – PowerPoint PPT presentation
Number of Views:37
Avg rating:3.0/5.0
Title: Distribution de politiques de s
1
Distribution de politiques de sécurité IPsec
- F. BARRERE - A. BENZEKRI - G.GRASSET - R. LABORDE
Y. RAYNAUD - IRIT/SIERA
- Université Paul Sabatier Toulouse
2
Problématique
Problème gestion statique à grande échelle
gestion dynamique de VPN
3
Politique
- Niveau dabstraction
- Niveau de détails buts, application, réseau et
équipement - Modèle dinformation
- Dépend du niveau dabstraction et de
lutilisation - Ex MIB
- Portée dune politique
4
Les approches existantes
- IPSP (SPP)1
- Distribuée
- Soulève un certain nombre de problèmes
- Hybride2
- Correction de défauts SPP
- Première architecture
- Réseaux à base de politique
- Standard (RFC 2753)
- Nouvelle approche
(1) draft-ietf-ipsp-spp-00.txt (2) Policy-based
Hybrid Management Architecture for IP-based VPN
5
SPP
- 1 administrateur gère 1 Serveur
- 1 serveur gère 1 domaine
- Distribution à la demande
6
SPP les problèmes
- Distribution totale
- Cohérence
- SPP protocole lourd
- Domaine de sécurité
- inclus dans domaine IP
7
Hybride
- Ajout dun système de gestion
- permettant la vérification des règles
- Distribution par SPP ou COPS
8
Hybride les problèmes
- SPP
- Domaine de sécurité
- Contrôle des administrateurs locaux
- Dialogue entre managers
9
Architecture des PBN
- Domaine dadministration
- Base de règles
- Règles du domaine
- PDP/PEP
- Juge et policier
- Fonctionnement outsourcing ou provisionning
- Protocole de transaction
- SNMP
- COPS1
(1) RFC 2748
10
Notre architecture
- LDAP
- MI extensible ? évolution des politiques
- lecture ? réactivité du PDP
- COPS-PR1
- sûreté
- TCP
- Messages de notification
- sécurité (IPsec)
- mode provisionnig
(1) RFC 3084
11
Notre architecture
12
États dune politique IPsec
13
Implémentation
CISCO Crypto isakmp policy Encr 3des hash
md5 group 2 Crypto ipsec transform-set
tf1 esp_3des esp_md5_hmac Crypto map test-tunnel
10 ipsec_isakmp set peer x.x.x.x set
transform-set tf1 match address 101 Access-list
101 permit ip 192.168.2.0 0.0.0.255
192.168.1.0 0.0.0.255 Interface IT ip address
y.y.y.y crypto map test-tunnel
FreeS/WAN Conn test-tunnel Type tunnel Authby
rsasig Left x.x.x.x Leftid ID_A Leftsubnet
192.168.1.0/24 Leftnexthop Right
y.y.y.y Rightid ID_B Rightsubnet
192.168.2.0/24 Rightnexthop Keyexchange
ike Encrypt yes Auth esp Pfs yes
CISCO Crypto isakmp policy Encr 3des hash
md5 group 2 Crypto ipsec transform-set
tf1 esp_3des esp_md5_hmac Crypto map test-tunnel
10 ipsec_isakmp set peer x.x.x.x set
transform-set tf1 match address 101 Access-list
101 permit ip 192.168.2.0 0.0.0.255
192.168.1.0 0.0.0.255 Interface IT ip address
y.y.y.y crypto map test-tunnel
FreeS/WAN Conn test-tunnel Type tunnel Authby
rsasig Left x.x.x.x Leftid ID_A Leftsubnet
192.168.1.0/24 Leftnexthop Right
y.y.y.y Rightid ID_B Rightsubnet
192.168.2.0/24 Rightnexthop Keyexchange
ike Encrypt yes Auth esp Pfs yes
(1) draft-ietf-ipsp-ipsecpib-03.txt
14
Conclusion
- Notion de politique ? système de gestion multi
plates-formes - Notion de domaine administratif
- ? flexibilité pour les entreprises
15
Extensions
- Définir la politique de niveau application
- Communication inter-domaines
- Domaines autonomes de routages
- Gestion du VPN par rapport au profil utilisateur
Recommended
CrystalGraphics Presentations
