HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > IPsec > Demo d'interop pour IPsec 2000
Accéder au : Site HSC des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Veille en vulnérabilités
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|Demo d'interop pour IPsec 2000  
> Description Ce document et les sous-documents associés constituent un compte-rendu des tests effectués à l'occasion de la mise en oeuvre d'une plate-forme de démonstration pour la conférence IPsec 2000
> Dates 24-27 octobre 2000 - IPsec 2000
13 novembre 2000 - Publication des résultats sur www.hsc.fr
> Table des matières Introduction
Implémentations testées
Disposition réseau
Tests effectués
Résultats - Négociation initiale
Résultats - Suppression et renouvellement de SA
Configurations et détails sur les implémentations
> Autres documents dir  IPsec 2001 - Tests et démonstrations d'interopérabilité IKE [octobre 2001 - Français/Anglais]
[Thème]  Thème IPsec
> Auteur Ghislaine Labouret
> Droits d'auteur © 2000, Hervé Schauer Consultants, tous droits réservés.

 

IPsec 2000


Introduction

La conférence IPsec 2000, organisée par Upper Side, s'est accompagnée de la mise en oeuvre d'une plate-forme de démonstration et de tests d'interopérabilité IKE/IPsec. Les fournisseurs de solutions IPsec étaient invités à participer à l'événement, qui a été coordonné par HSC. HSC a joué le rôle d'intégrateur, mais a surtout mis son expertise en sécurité informatique (et sur IPsec en particulier) au service des participants.

Les buts visés étaient de :

  • Faire au public une démonstration d'iinteropérabilité effective
  • Donner un aperçu du niveau de fonctionnalités des implémentations IPsec du marché
Cet événement n'était pas un bakeoff, son but n'était pas de faire des tests exhaustifs ou de fonctionnalités avancées.

Ce document rend compte des tests effectués au cours des deux étapes suivantes :

  • Préparation dans les locaux d'HSC du jeudi 19 au lundi 23 octobre
    • Mise en place du réseau
    • Tests afin de trouver des configurations fonctionnelles
  • Démonstration lors de la conférence IPsec 2000, du mardi 24 au vendredi 27 octobre


Implémentations testées

Quatre fournisseurs d'équipements IPsec ont participé :

Et HSC a mis en oeuvre deux implémentations libres d'IPsec :
  • FreeS/WAN (v1.6 sur Linux RedHat 6.2)
  • KAME (v20001023 sur FreeBSD 4.1)
En complément à ces implémentations IPsec, deux analyseurs de réseau ont été mis en oeuvre : Enfin, les certificats utilisés ont été générés localement avec 


Disposition réseau

Tous les équipements étaient directement interconnectés sur un réseau ethernet 10 base T, simplement constitué de deux concentrateurs 16 ports.

Le plan d'adressage était le suivant :

Accessoirement, les services suivants étaient fournis :

  • Accès Internet
    • Routeur RNIS (192.168.1.1) avec ISP gratuit
    • Présence de traduction d'adresse :-(
  • Serveur DNS (192.168.1.40)
    • Domaine ipsec2000.fr
    • Sous-domaines _fournisseur_.ipsec2000.fr
  • Serveur FTP anonyme pour échange de fichiers
  • Autorité de certification


Tests effectués

Le cas testé était le suivant :

  • VPN passerelle-à-passerelle entièrement maillé
  • Protection de l'ensemble du trafic entre les réseaux situés derrière les passerelles (réseaux internes)
  • Utilisation de IKE (pas d'IPsec manuel)

Paramètres de phase 1 :

  • Main Mode, 3DES, SHA-1, groupe DH 2, durées de vie par défaut
  • Authentification des tiers :
    • Pre-Shared Key
    • RSA Signature

Paramètres de phase 2 :

  • Pas de PFS
  • Protection de l'ensemble du trafic entre les réseaux internes
  • Négociation d'ESP en mode tunnel (3DES, HMAC-SHA-1)
  • Pas de compression

Les situations testées ont été :

  • Négociation initiale
  • Suppression volontaire de SA
  • Renouvellement des clefs
Les vérifications ont été effectuées via le suivi des journaux, des ping et des accès web, et en utilisant les analyseurs réseau. Les tests étaient avant tout orientés IKE, le fonctionnement d'IPsec lui-même n'a pas été approfondi (pas de tests de fragmentation par exemple).


Résultats - Négociation initiale

Dans l'ensemble, peu d'adaptations par rapport aux configurations par défaut ont été nécessaires et peu de bugs ont été rencontrés.

Authentification par secret partagé préalable

Toutes les implémentations sont capables d'interopérer (en tant qu'initiateur comme en tant que répondeur), au sens où il existe, pour chaque situation, une configuration qui conduit à la création de SA ISAKMP et IPsec fonctionnelles.

Authentification par signature RSA

  • Alcatel
    Non testé car nous n'avons pas pu faire accepter les certificats par le boitier.
  • Check Point
    Testé avec succès avec KAME et Nortel.
  • FreeS/WAN
    FreeS/WAN 1.6 n'implémente pas les certificats, les clefs publiques doivent être échangées hors-ligne ou via DNSSEC (il existe un patch X.509 pour FreeS/WAN, mais celui-ci n'a pas été mis en oeuvre ici). Nortel et Check Point nécessitant en revanche un échange de certificats en ligne, ils ne peuvent interopérer avec FreeS/WAN. En revanche, KAME est capable d'obtenir les clefs publiques hors-ligne ; il interopère correctement avec FreeS/WAN en authentification RSA-Sig.
  • KAME
    Testé avec succès avec Check Point, FreeS/WAN et Nortel.
  • Nortel
    Testé avec succès avec Check Point et KAME.
  • RedCreek
    L'authentification via signature RSA n'est pas disponible sur cet équipement.


Résultats - Suppression et renouvellement de SA

Suppression volontaire de SA

Lorsqu'un équipement IPsec supprime des associations de sécurité (en fin de vie ou par action d'un administrateur), il est censé envoyer des messages informationel de type "SA deletion", afin que l'équipement tiers puisse également supprimer les associations de sécurité concernées.

L'ensemble des équipements testés suivent cette ligne de conduite, aux exceptions suivantes :

  • FreeS/WAN : n'envoie pas de message SA deletion et ne tient pas compte des messages reçus
  • Check Point VPN-1 : n'envoie pas de message SA deletion

Renouvellement de SA

Le renouvellement des associations de sécurité n'a pas été testé de façon exhaustive. Des tests ont été effectués avec succès sur le renouvellement des SA IPsec, aucun test explicite n'a été effectué sur le renouvellement des SA IKE.


Configurations et détails sur les implémentations

Dernière modification le 23 octobre 2002 à 15:26:12 CET - webmaster@hsc.fr
Informations sur ce serveur - © 1989-2010 Hervé Schauer Consultants