HSC
Network Security Consulting Agency Since 1989 - Specialized in Unix, Windows, TCP/IP and Internet
Text mode: access to the page content
Hervé Schauer Consultants
You are here: Home > Resources > Techno-Watch >
Go to: HSC Trainings
Télécharger le catalogue des formations
Search:  
Version française
   Services   
o Skills & Expertise
o Consulting
o ISO 27001 services
o Audit & Assessment
o Penetration tests
o Vunerability assessment (TSAR)
o Forensics
o ARJEL
o Training courses
o E-learning
   Conferences   
o Agenda
o Past events
o Tutorials
   Resources   
o Thematic index
o Tips
o Lectures
o Courses
o Articles
o Tools (download)
o Vulnerability watch
   Company   
o Hervé Schauer
o Team
o Job opportunities
o Credentials
o History
o Partnerships
o Associations
   Press and
 communication
 
 
o HSC Newsletter
o Bulletin juridique HSC
o Press review
o Press releases
o Publications
   Contacts   
o How to reach us
o Specific inquiries
o Directions to our office
o Hotels near our office
|>|  
> Access to the content HTML Beginning of the report  
> Description Report on the IPsec 2001 conference, which took place in Paris on 23-26 October 2001.  
> Context & Dates Report made for our news monitoring service .
The difference between the report writing and publishing dates are generally due to corrections and proofreading by the different people who took part in the conference.
29 October 2001 - Report writing
21 November 2001 - Sending to the news monitoring service subscribers
23 April 2002 - Publication on HSC's web site  
> Author Hervé Schauer (Herve.Schauer@hsc.fr) 
> Type  
> Abstract &
Table of content
 
> Related documents
> Copyright © 2001, Hervé Schauer Consultants, all rights reserved.

 

IPsec 2001 s'est déroulé du 23 au 26 octobre 2001 à Paris. Elle a réuni les principaux acteurs d'IPsec, avec une participation importante des auteurs de drafts et responsable des groupes de normalisation à l'IETF (92 inscrits en tout).

Dès le premier jour, un débat sur les déploiements IPsec et l'avenir d'IPsec avec 12 experts était organisé. Eric Vyncke de Cisco a indiqué qu'IPsec décollait, il voyait environ un projet majeur toutes les 2 semaines. Hervé Schauer a fait remarquer que cela ne fait jamais que 25 projets par an, sur les 2500 entreprises et organisations en Europe qui pourraient avoir de tels projets. Le débat sur l'utilisation d'IPsec reste ouvert.

Ghislaine Labouret (Hervé Schauer Consultants) a présenté la démonstration d'interopérabilité réalisée par HSC . Celle-ci regroupe 10 périphériques de 8 fournisseurs, tous reliés entre eux par 45 tunnels IPsec dans un réseau totalement maillé. Les principaux fournisseurs sont présents comme Nortel, Netscreen et Cisco avec 3 IPsec différents : IOS, PIX et VPN3000, les acteurs français : 6Wind, Netasq et Netcelo, et les implémentations libres d'IPsec FreeS/WAN et OpenBSD. Les tunnels fonctionnent avec l'initiative du tunnel dans les deux sens soit 90 tests. Tous les tunnels utilisent IKE et des certificats, générés par la PKI IDX-PKI. Moins d'une dizaine de cas n'ont pas fonctionné, mais souvent il a fallu changer le paramétrage par défaut. Ce succès montre la maturité technique d'IPsec depuis l'année précédente, car les tests sont très probants. D'un autre côté des sociétés présentes les années précédentes ont disparues comme Radguard (faillite) et le revendeur de Redcreek (faillite), et des acteurs qui semblaient importants ont refusé de participer comme Checkpoint et Nokia. Les fournisseurs d'infrastructure de clés ont également pas pu réunir les moyens pour participer, sauf Idealx avec sa PKI qui est un logiciel libre.

La démonstration d'interopérabilité a intéressé les utilisateurs finaux, les consultants et les journalistes, mais les gens de l'IETF qui fabriquent les normes, et qui avaient l'occasion de voir de près le résultat concret n'en ont pas profité pour venir regarder. Ce n'est qu'un élément, mais la conférence dans son ensemble a montré que la normalisation était un travail à plein temps, qui déconnectait totalement les gens de la réalité.

Dans la foulée de la démonstration d'interopérabilité, Dominique Quatravaux (Idealx) a présenté la PKI IDX-PKI, avec une démonstration, et annoncé que l'implémentation de SCEP utilisée à IPsec 2001 sera disponible en standard dans la prochaine version.

La conférence a traité des sujets classiques de l'IETF ou des sujets traités l'an dernier : l'état d'avancement d'IPsec, la proposition d'identification HIP de Bob Moscowitz, les difficultés de cohabitation d'IPsec avec la mobilité, les implémentations libres d'IPsec, IPsec et le multicast, etc. Une nouveauté a été présentée par Dan Harkins qui vient de quitter Nokia pour Tibernian Systems sur Son-of-IKE. Il a montré pourquoi chaque niveau ISAKMP, IKE et IPsec DOI étaient devenus complexes et malléables, et l'importance de Son-of-IKE. Le draft de Son-of-IKE sera publié pour le prochain IETF.

Cyril Tesseraud de Thales a mis en avant les nombreux risques apportés par l'utilisation de tunnels IPsec en accès distant par Internet. Il recommande un anti-virus, un firewall personnel et l'utilisation d'une authentification forte de l'utilisateur sur le PC. Il recommande également un accès des mobiles à l'entreprise en DMZ, au travers d'un firewall, avec des applications dédiées et des relais applicatifs, et sans accès libre au réseau privé.
Luis Sanchez (chair du groupe IPSP) puis Eric Vyncke (auteur du draft) ont montré que les travaux sur l'application à IPsec de PCIM (Policy Core Information Model) avançaient.
Alain Mandine (Nortel) a montré comment faire des VPN IPsec dans le cadre d'un centre d'hébergement de données avec de la redondance, en combinant le protocole de routage OSPF et le protocole de haute-disponibilité VRRP.

La conférence a donné la parole à un utilisateur : SAP, puis Eric Vyncke de Cisco a cité anonymement des exemples de déploiements en Europe. SAP utilise IPsec pour ses accès distants avec des clés partagées (sans PKI) et une authentification des utilisateurs par SecurID, pour des liens avec des partenaires et clients, et enfin pour construire le réseau interne de SAP. Les accès distants et les tunnels avec les partenaires et clients utilisent du matériel Nortel Contivity 2600. Les liaisons sur Internet utilisent du matériel Nortel Contivity en central et des routeurs Cisco sur les sites distants, ce sont des liaisons qui doublent les liaisons privées, pour le trafic ne demandant pas une grande qualité de service comme la messagerie ou l'accès Internet, qui repasse toujours pas un des firewalls de l'entreprise avant de sortir réellement sur l'extérieur. SAP a souhaité infogérer ces tunnels IPsec ; suite à un appel d'offre, SAP a sélectionné 2 fournisseurs : ATT & GlobalOne, mais après les avoir testé, SAP n'a pas été satisfait du service rendu. SAP a abandonné l'infogérance et gère lui-même ses tunnels IPsec.
Asdrubal Pichardo de SAP conclut qu'IPsec marche, mais affecte la performance et rend difficile la résolution des problèmes réseau, qu'il faut des compétences pointues et que certains vendeurs sont plus matures que d'autres. La prochaine étape sera d'utiliser des certificats, la PKI allemande actuellement utilisée par SAP ne supportant pas encore les certificats pour IPsec.

Eric Vyncke de Cisco a cité quelques exemples de déploiement, un aux USA d'un réseau maillé, les autres en Europe en étoile, dans des mondes bancaires ou de la santé.

Pour terminer la conférence, deux fournisseurs de solutions de sécurité sans fil ont été présentés, Certicom et Bluesocket, et une société de conseil, @stake.

Certicom propose des VPN IPsec sur des téléphones mobiles et des PDA. Ron Statler a montré qu'en configurant IKE au plus léger, il était possible d'utiliser IPsec sur des petits périphériques, avec des performances qui restent utilisables pour certaines applications en texte ou comme la messagerie.

Bluesocket propose un système de sécurisation des réseaux ethernet sans fil avec une authentification des utilisateurs dans un butineur. David Crosbie de Bluesocket a montré les risques des réseaux 802.11b, en insistant sur le fait que le plus courant est l'utilisateur qui branche en toute illégalité une borne sur sa prise ethernet, sans que les gestionnaires du réseau soient au courant... et sans sécurité. Il a indiqué que pour utiliser le logiciel d'attaque de WEP disponible sur sourceforge il faut une carte 802.11b Linksys avec une machine Linux. À l'avenir l'implémentation d'AES avec le système d'authentification de 802.1x permettra de retrouver une sécurité satisfaisante, mais la normalisation de celle-ci n'est pas terminée à l'IEEE. Pour le moment, il a finalement recommandé de considérer les réseaux sans fil comme des réseaux externes, qui outre la sécurité existante des réseaux sans fil imposent un tunnel IPsec à tous les postes qui souhaitent se connecter vers un firewall de concentration.

Phil Huggins de @stake UK a donné les même suggestions d'architecture que David Crosbie sur Ethernet 802.11b. Il a également traité la sécurité GPRS, et a indiqué avoir trouvé sur des système d'écoute judiciaires un logiciel d'écoute du trafic GTP : gpdump. GTP (GPRS Tunnelling Protocol) est le protocole d'encapsulation du trafic IP de l'utilisateur dans le réseau IP de l'opérateur entre le SGSN et le GGSN. Plus grave, Phil Huggins a aussi trouvé le logiciel gpdump sur des systèmes compromis. En Angleterre ces systèmes d'écoutes judiciaires sont implémentés sur des plateforme Nokia IPSO. Le logiciel gpdump a été développé par un tiers et n'est pas disponible au public.
Pour en savoir plus : La présentation de Stéphane Aubert sur la sécurité GPRS

La conférence a attiré moins de participants et d'exposants que l'an dernier, et plusieurs présentations étaient d'un niveau faible. IPsec à d'une part atteint une maturité, de l'autre côté il n'a que modérément décollé, plus souvent pour construire l'infrastructure réseau des entreprises que pour appliquer une politique de sécurité.

Last modified on 26 Mars 2003 at 09:58:53 CET - webmaster@hsc.fr
Mentions légales - Information on this server - © 1989-2013 Hervé Schauer Consultants