Demo d'interop pour IPsec 2000

	Description		Ce document et les sous-documents associés constituent un compte-rendu des tests effectués à l'occasion de la mise en oeuvre d'une plate-forme de démonstration pour la conférence IPsec 2000
	Dates		24-27 octobre 2000 - IPsec 2000 13 novembre 2000 - Publication des résultats sur www.hsc.fr
	Table des matières		Introduction Implémentations testées Disposition réseau Tests effectués Résultats - Négociation initiale Résultats - Suppression et renouvellement de SA Configurations et détails sur les implémentations
	Autres documents		IPsec 2001 - Tests et démonstrations d'interopérabilité IKE [octobre 2001 - ]   Thème IPsec
	Auteur		Ghislaine Labouret
	Droits d'auteur		© 2000, Hervé Schauer Consultants, tous droits réservés.

La conférence IPsec 2000, organisée par Upper Side, s'est accompagnée de la mise en oeuvre d'une plate-forme de démonstration et de tests d'interopérabilité IKE/IPsec. Les fournisseurs de solutions IPsec étaient invités à participer à l'événement, qui a été coordonné par HSC. HSC a joué le rôle d'intégrateur, mais a surtout mis son expertise en sécurité informatique (et sur IPsec en particulier) au service des participants.

Les buts visés étaient de :

• Faire au public une démonstration d'iinteropérabilité effective
• Donner un aperçu du niveau de fonctionnalités des implémentations IPsec du marché

Ce document rend compte des tests effectués au cours des deux étapes suivantes :

• Préparation dans les locaux d'HSC du jeudi 19 au lundi 23 octobre
  • Mise en place du réseau
  • Tests afin de trouver des configurations fonctionnelles
• Démonstration lors de la conférence IPsec 2000, du mardi 24 au vendredi 27 octobre

Quatre fournisseurs d'équipements IPsec ont participé :

• Alcatel, avec Alcatel 7130 Secure VPN Gateway
• Check Point, avec VPN-1 (v4.1 sur Windows NT 4.0)
• Nortel, avec Contivity Extranet Switch 1500 (v3.0)
• RedCreek, avec Ravlin 10

• FreeS/WAN (v1.6 sur Linux RedHat 6.2)
• KAME (v20001023 sur FreeBSD 4.1)

• Ethereal, présenté par HSC (Ethereal est gratuit et ouvert, disponible sous Unix et Windows)
• NetCocoon Analyser, présenté par sa société éditrice, Matsushita Electric Works

• OpenSSL

Tous les équipements étaient directement interconnectés sur un réseau ethernet 10 base T, simplement constitué de deux concentrateurs 16 ports.

Le plan d'adressage était le suivant :

Accessoirement, les services suivants étaient fournis :

• Accès Internet
  • Routeur RNIS (192.168.1.1) avec ISP gratuit
  • Présence de traduction d'adresse :-(
• Serveur DNS (192.168.1.40)
  • Domaine ipsec2000.fr
  • Sous-domaines _fournisseur_.ipsec2000.fr
• Serveur FTP anonyme pour échange de fichiers
• Autorité de certification

Le cas testé était le suivant :

• VPN passerelle-à-passerelle entièrement maillé
• Protection de l'ensemble du trafic entre les réseaux situés derrière les passerelles (réseaux internes)
• Utilisation de IKE (pas d'IPsec manuel)

Paramètres de phase 1 :

• Main Mode, 3DES, SHA-1, groupe DH 2, durées de vie par défaut
• Authentification des tiers :
  • Pre-Shared Key
  • RSA Signature

Paramètres de phase 2 :

• Pas de PFS
• Protection de l'ensemble du trafic entre les réseaux internes
• Négociation d'ESP en mode tunnel (3DES, HMAC-SHA-1)
• Pas de compression

Les situations testées ont été :

• Négociation initiale
• Suppression volontaire de SA
• Renouvellement des clefs

Dans l'ensemble, peu d'adaptations par rapport aux configurations par défaut ont été nécessaires et peu de bugs ont été rencontrés.

Authentification par secret partagé préalable

Toutes les implémentations sont capables d'interopérer (en tant qu'initiateur comme en tant que répondeur), au sens où il existe, pour chaque situation, une configuration qui conduit à la création de SA ISAKMP et IPsec fonctionnelles.

Authentification par signature RSA

• Alcatel
  Non testé car nous n'avons pas pu faire accepter les certificats par le boitier.
• Check Point
  Testé avec succès avec KAME et Nortel.
• FreeS/WAN
  FreeS/WAN 1.6 n'implémente pas les certificats, les clefs publiques doivent être échangées hors-ligne ou via DNSSEC (il existe un patch X.509 pour FreeS/WAN, mais celui-ci n'a pas été mis en oeuvre ici). Nortel et Check Point nécessitant en revanche un échange de certificats en ligne, ils ne peuvent interopérer avec FreeS/WAN. En revanche, KAME est capable d'obtenir les clefs publiques hors-ligne ; il interopère correctement avec FreeS/WAN en authentification RSA-Sig.
• KAME
  Testé avec succès avec Check Point, FreeS/WAN et Nortel.
• Nortel
  Testé avec succès avec Check Point et KAME.
• RedCreek
  L'authentification via signature RSA n'est pas disponible sur cet équipement.

Suppression volontaire de SA

Lorsqu'un équipement IPsec supprime des associations de sécurité (en fin de vie ou par action d'un administrateur), il est censé envoyer des messages informationel de type "SA deletion", afin que l'équipement tiers puisse également supprimer les associations de sécurité concernées.

L'ensemble des équipements testés suivent cette ligne de conduite, aux exceptions suivantes :

• FreeS/WAN : n'envoie pas de message SA deletion et ne tient pas compte des messages reçus
• Check Point VPN-1 : n'envoie pas de message SA deletion

Renouvellement de SA

Le renouvellement des associations de sécurité n'a pas été testé de façon exhaustive. Des tests ont été effectués avec succès sur le renouvellement des SA IPsec, aucun test explicite n'a été effectué sur le renouvellement des SA IKE.

• FreeS/WAN
• KAME