IPSEC VPN, Phase 1 & 2, temps de vie, PFS
Le
Raphael®
Bonjour,
Je me pose des questions sur un design de plusieurs firewalls
interconnectant les reseaux prives derriere ceux-ci.
Topologie est une grosse paire au mileu avec 6 autres lui parlant. Bande
passante du point "central", 32Mbits.
Les pare-feux sont tous de type Cis** P** 515 avec 128M RAM et une carte
d'acceleration VPN
On me suggere ceci,
Phase 1 avec une duree de vie de 6 heures,
Phase 2 avec une duree de vie de 3 heures,
PFS, AES et MD5 tantque possible.
Est-ce que ca va tenir? Quel(s) avantage(s) a diminuer ces temps de vie?
et a ajouter le PFS au dessus de tout? Est-ce plus securise de jouer sur
ces temps de vie?
Merci beaucoup
Raphael
Je me pose des questions sur un design de plusieurs firewalls
interconnectant les reseaux prives derriere ceux-ci.
Topologie est une grosse paire au mileu avec 6 autres lui parlant. Bande
passante du point "central", 32Mbits.
Les pare-feux sont tous de type Cis** P** 515 avec 128M RAM et une carte
d'acceleration VPN
On me suggere ceci,
Phase 1 avec une duree de vie de 6 heures,
Phase 2 avec une duree de vie de 3 heures,
PFS, AES et MD5 tantque possible.
Est-ce que ca va tenir? Quel(s) avantage(s) a diminuer ces temps de vie?
et a ajouter le PFS au dessus de tout? Est-ce plus securise de jouer sur
ces temps de vie?
Merci beaucoup
Raphael
Poser une question
Algorithmes de chiffrement, de hash, et groupe DH ???
Mode principal ou aggressif ?
Cles prepartageees ou certificats ?
MD5 ?
Quel groupe DH pour le PFS ?
Quelle taille de cle pour l'AES ?
La phase 1 sert "uniquement" a s'authentifier mutuellement et a
negocier les phases 2 de facon chiffree (ok, je shematise un peu, la,
y'a aussi tous les message d'informations, etc....).
Mais en gros, la duree de vie de la phase1 est surtout interessante a
exprimer en multiple de duree de vie de phase2 ("combien de phases2 je
vais negocier avec une IsakmpSA ?").
Diminuer les durees de vie fait augmenter la frequence des
renegociations (en supposant que les tunnels sont maintenus a peu pres
en permanence).
En theorie c'est mieux, puisque ca reduit la duree de vie d'une SA,
donc la duree de validite et la quantite d'utilisation d'une cle, donc
ca reduit les possibilites d'attaques sur les cles.....
En pratique, franchement, avec une bonne phase1, et de l'AES en
phase2, j'aimerais bien voir une attaque reussie sur une IPSec SA
(phase2, donc) d'une duree de vie de quelques heures, meme avec
beaucoup de traffic......
Mais avant de se demander si 6h / 3h c'est beaucoup comme duree de
vie, faudrait d'abord se poser les autres questions que j'ai pose au
dessus, qui me parraissent nettement plus important....
Quand a la question "est-ce que ca va tenir", non seulement j'en sais
rien (je sais pas ce que valent ces produits la), mais en plus je me
demande si ca serait pas une question plus appropriee ailleurs
(fr.comp.reseaux ? fr.comp.securite ? autrepart ?).
A +
VANHU.