HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Veille technologique >
Accéder au : Site HSC des formations
Télécharger le catalogue des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Bulletin juridique HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|  
> Accès au contenu HTML Début du rapport  
> Description Compte-rendu de la conférence IPsec 2001, qui s'est déroulée à Paris du 23 au 26 octobre 2001.  
> Contexte & Dates Rapport réalisé pour notre service de veille en actualité .
La différence entre la date de rédaction et la date d'envoi est généralement due aux corrections et relectures par les différentes personnes ayant participé à la conférence.
29 octobre 2001 - Rédaction du compte-rendu
21 novembre 2001 - Envoi aux abonnés de la veille en actualité
23 avril 2002 - Publication sur le site web d'HSC  
> Auteur Hervé Schauer (Herve.Schauer@hsc.fr) 
> Langue et Nature  
> Résumé &
Table des matières
 
> Documents liés
> Droits d'auteur © 2001, Hervé Schauer Consultants, tous droits réservés.

 

IPsec 2001 s'est déroulé du 23 au 26 octobre 2001 à Paris. Elle a réuni les principaux acteurs d'IPsec, avec une participation importante des auteurs de drafts et responsable des groupes de normalisation à l'IETF (92 inscrits en tout).

Dès le premier jour, un débat sur les déploiements IPsec et l'avenir d'IPsec avec 12 experts était organisé. Eric Vyncke de Cisco a indiqué qu'IPsec décollait, il voyait environ un projet majeur toutes les 2 semaines. Hervé Schauer a fait remarquer que cela ne fait jamais que 25 projets par an, sur les 2500 entreprises et organisations en Europe qui pourraient avoir de tels projets. Le débat sur l'utilisation d'IPsec reste ouvert.

Ghislaine Labouret (Hervé Schauer Consultants) a présenté la démonstration d'interopérabilité réalisée par HSC . Celle-ci regroupe 10 périphériques de 8 fournisseurs, tous reliés entre eux par 45 tunnels IPsec dans un réseau totalement maillé. Les principaux fournisseurs sont présents comme Nortel, Netscreen et Cisco avec 3 IPsec différents : IOS, PIX et VPN3000, les acteurs français : 6Wind, Netasq et Netcelo, et les implémentations libres d'IPsec FreeS/WAN et OpenBSD. Les tunnels fonctionnent avec l'initiative du tunnel dans les deux sens soit 90 tests. Tous les tunnels utilisent IKE et des certificats, générés par la PKI IDX-PKI. Moins d'une dizaine de cas n'ont pas fonctionné, mais souvent il a fallu changer le paramétrage par défaut. Ce succès montre la maturité technique d'IPsec depuis l'année précédente, car les tests sont très probants. D'un autre côté des sociétés présentes les années précédentes ont disparues comme Radguard (faillite) et le revendeur de Redcreek (faillite), et des acteurs qui semblaient importants ont refusé de participer comme Checkpoint et Nokia. Les fournisseurs d'infrastructure de clés ont également pas pu réunir les moyens pour participer, sauf Idealx avec sa PKI qui est un logiciel libre.

La démonstration d'interopérabilité a intéressé les utilisateurs finaux, les consultants et les journalistes, mais les gens de l'IETF qui fabriquent les normes, et qui avaient l'occasion de voir de près le résultat concret n'en ont pas profité pour venir regarder. Ce n'est qu'un élément, mais la conférence dans son ensemble a montré que la normalisation était un travail à plein temps, qui déconnectait totalement les gens de la réalité.

Dans la foulée de la démonstration d'interopérabilité, Dominique Quatravaux (Idealx) a présenté la PKI IDX-PKI, avec une démonstration, et annoncé que l'implémentation de SCEP utilisée à IPsec 2001 sera disponible en standard dans la prochaine version.

La conférence a traité des sujets classiques de l'IETF ou des sujets traités l'an dernier : l'état d'avancement d'IPsec, la proposition d'identification HIP de Bob Moscowitz, les difficultés de cohabitation d'IPsec avec la mobilité, les implémentations libres d'IPsec, IPsec et le multicast, etc. Une nouveauté a été présentée par Dan Harkins qui vient de quitter Nokia pour Tibernian Systems sur Son-of-IKE. Il a montré pourquoi chaque niveau ISAKMP, IKE et IPsec DOI étaient devenus complexes et malléables, et l'importance de Son-of-IKE. Le draft de Son-of-IKE sera publié pour le prochain IETF.

Cyril Tesseraud de Thales a mis en avant les nombreux risques apportés par l'utilisation de tunnels IPsec en accès distant par Internet. Il recommande un anti-virus, un firewall personnel et l'utilisation d'une authentification forte de l'utilisateur sur le PC. Il recommande également un accès des mobiles à l'entreprise en DMZ, au travers d'un firewall, avec des applications dédiées et des relais applicatifs, et sans accès libre au réseau privé.
Luis Sanchez (chair du groupe IPSP) puis Eric Vyncke (auteur du draft) ont montré que les travaux sur l'application à IPsec de PCIM (Policy Core Information Model) avançaient.
Alain Mandine (Nortel) a montré comment faire des VPN IPsec dans le cadre d'un centre d'hébergement de données avec de la redondance, en combinant le protocole de routage OSPF et le protocole de haute-disponibilité VRRP.

La conférence a donné la parole à un utilisateur : SAP, puis Eric Vyncke de Cisco a cité anonymement des exemples de déploiements en Europe. SAP utilise IPsec pour ses accès distants avec des clés partagées (sans PKI) et une authentification des utilisateurs par SecurID, pour des liens avec des partenaires et clients, et enfin pour construire le réseau interne de SAP. Les accès distants et les tunnels avec les partenaires et clients utilisent du matériel Nortel Contivity 2600. Les liaisons sur Internet utilisent du matériel Nortel Contivity en central et des routeurs Cisco sur les sites distants, ce sont des liaisons qui doublent les liaisons privées, pour le trafic ne demandant pas une grande qualité de service comme la messagerie ou l'accès Internet, qui repasse toujours pas un des firewalls de l'entreprise avant de sortir réellement sur l'extérieur. SAP a souhaité infogérer ces tunnels IPsec ; suite à un appel d'offre, SAP a sélectionné 2 fournisseurs : ATT & GlobalOne, mais après les avoir testé, SAP n'a pas été satisfait du service rendu. SAP a abandonné l'infogérance et gère lui-même ses tunnels IPsec.
Asdrubal Pichardo de SAP conclut qu'IPsec marche, mais affecte la performance et rend difficile la résolution des problèmes réseau, qu'il faut des compétences pointues et que certains vendeurs sont plus matures que d'autres. La prochaine étape sera d'utiliser des certificats, la PKI allemande actuellement utilisée par SAP ne supportant pas encore les certificats pour IPsec.

Eric Vyncke de Cisco a cité quelques exemples de déploiement, un aux USA d'un réseau maillé, les autres en Europe en étoile, dans des mondes bancaires ou de la santé.

Pour terminer la conférence, deux fournisseurs de solutions de sécurité sans fil ont été présentés, Certicom et Bluesocket, et une société de conseil, @stake.

Certicom propose des VPN IPsec sur des téléphones mobiles et des PDA. Ron Statler a montré qu'en configurant IKE au plus léger, il était possible d'utiliser IPsec sur des petits périphériques, avec des performances qui restent utilisables pour certaines applications en texte ou comme la messagerie.

Bluesocket propose un système de sécurisation des réseaux ethernet sans fil avec une authentification des utilisateurs dans un butineur. David Crosbie de Bluesocket a montré les risques des réseaux 802.11b, en insistant sur le fait que le plus courant est l'utilisateur qui branche en toute illégalité une borne sur sa prise ethernet, sans que les gestionnaires du réseau soient au courant... et sans sécurité. Il a indiqué que pour utiliser le logiciel d'attaque de WEP disponible sur sourceforge il faut une carte 802.11b Linksys avec une machine Linux. À l'avenir l'implémentation d'AES avec le système d'authentification de 802.1x permettra de retrouver une sécurité satisfaisante, mais la normalisation de celle-ci n'est pas terminée à l'IEEE. Pour le moment, il a finalement recommandé de considérer les réseaux sans fil comme des réseaux externes, qui outre la sécurité existante des réseaux sans fil imposent un tunnel IPsec à tous les postes qui souhaitent se connecter vers un firewall de concentration.

Phil Huggins de @stake UK a donné les même suggestions d'architecture que David Crosbie sur Ethernet 802.11b. Il a également traité la sécurité GPRS, et a indiqué avoir trouvé sur des système d'écoute judiciaires un logiciel d'écoute du trafic GTP : gpdump. GTP (GPRS Tunnelling Protocol) est le protocole d'encapsulation du trafic IP de l'utilisateur dans le réseau IP de l'opérateur entre le SGSN et le GGSN. Plus grave, Phil Huggins a aussi trouvé le logiciel gpdump sur des systèmes compromis. En Angleterre ces systèmes d'écoutes judiciaires sont implémentés sur des plateforme Nokia IPSO. Le logiciel gpdump a été développé par un tiers et n'est pas disponible au public.
Pour en savoir plus : La présentation de Stéphane Aubert sur la sécurité GPRS

La conférence a attiré moins de participants et d'exposants que l'an dernier, et plusieurs présentations étaient d'un niveau faible. IPsec à d'une part atteint une maturité, de l'autre côté il n'a que modérément décollé, plus souvent pour construire l'infrastructure réseau des entreprises que pour appliquer une politique de sécurité.

Dernière modification le 26 mars 2003 à 09:58:53 CET - webmaster@hsc.fr
Mentions légales - Informations sur ce serveur - © 1989-2013 Hervé Schauer Consultants