Je viens de mettre en place une liaision IPSEC entre un OpenBSD 3.9 et
une Debian. Tout marche pour le mieux. Sur OpenBSD, j'utilise la
"nouvelle" version (cf http://www.securityfocus.com/infocus/1859 ).
Mais maintenant j'aimerais bien affiner tout ca : par exemple mettre
des timeouts sur les SA, utiliser PFS.. A l'heure actuelle, c'est ma
Debian (avec Racoon) qui initie la connexion et gere ces parametres
mais je souhaite la remplacer par un OpenBSD.
Ma question : peut on toujours utiliser cette "nouvelle" facon ? Ou
doit on repasser par le isakmpd.conf et isakmpd.policy (ou alors juste
rajouter certaines sections afin de durcir les regles par defaut).
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Benjamin Pineau
Le 19 Jul 2006 01:10:18 -0700, Pierre écrivait:
Mais maintenant j'aimerais bien affiner tout ca : par exemple mettre des timeouts sur les SA, utiliser PFS.. A l'heure actuelle, c'est ma Debian (avec Racoon) qui initie la connexion et gere ces parametres mais je souhaite la remplacer par un OpenBSD. Ma question : peut on toujours utiliser cette "nouvelle" facon ? Ou doit on repasser par le isakmpd.conf et isakmpd.policy (ou alors juste rajouter certaines sections afin de durcir les regles par defaut).
Salut D'après ce qui se dit, la "nouvelle méthode" ipsecctl vise à simplifier la mise en place d'IPsec, notamment en choisissant les paramètres les plus pertinents (secures, utiles ...) par défault plutot que d'assommer l'utilisateur avec des "boutons" trop nombreux, ou pire, lui laisser faire de mauvais choix. D'où:
- Les params important pour la sécurité comme la propriété de perfect forward secrecy (PFS) sont mis en place par défault. Il n'y a rien à faire, c'est activé tout seul, et ça "Just Works" :) Pour t'en convaincre tu peut consulter les transforms générés par ta conf avec un : ipsecctl -nvf /etc/ipsec.conf | grep PFS Bien entendu les SA ont déjà des timeouts, ceux par défaut d'isakmpd. Cf. isakmpd.conf(5): Default-phase-1-lifetime= 3600,60:86400 Default-phase-2-lifetime= 1200,60:86400 Tu peut aussi vérifier tout ça en tcpdumpant : tcpdump -nvs 1500 -i $ton_if 'proto esp or proto ah or (proto udp and port 500 or 4500)' Bref, c'est peut etre presomptueux de vouloir "durcir les regles par defaut": ces regles sont deja les plus "dures" possibles (par ex. le quick mode utilise AES-256, SHA2-256 avec PFS), et choisies précautioneusement par des experts pour nous éviter de gaffer. À voir les deux exemples de besoins dont tu parle, on peut dire que les devs d'ipsecctl ont bien atteint leurs objectifs: ils ont mis de bons défauts et activés les params dont tu a besoin. CQFD :)
- Si en dépit de la qualité de ces choix tu a besoin d'affiner, alors oui, par définition ipsecctl ne suffit plus et il faut jouer avec isakmpd.{conf,policy}.
Pour la derniere question: on peut utiliser simultanément un isakmpd.conf(5) minimal qui définis certaines valeurs (en particulier celles des sections [General], [X509-certificates] et [Keynote]) et utiliser ipsec.conf pour définir le reste (les flows et les SA).
nb: dans -current, il y a beaucoup de nouveautés pour ipsecctl, dont la possibilité de modifier les "lifetime" des clefs de phases 1 et 2 (je crois que le but n'est pas de pouvoir "durcir" les choses, mais plutot d'etre intéropérable avec les implems qui n'acceptent pas les lifetimes par default d'isakmpd: donc aucun intéret si ça marche deja avec les défauts actuels).
Le 19 Jul 2006 01:10:18 -0700,
Pierre <TuxPierre@gmail.com> écrivait:
Mais maintenant j'aimerais bien affiner tout ca : par exemple mettre
des timeouts sur les SA, utiliser PFS.. A l'heure actuelle, c'est ma
Debian (avec Racoon) qui initie la connexion et gere ces parametres
mais je souhaite la remplacer par un OpenBSD.
Ma question : peut on toujours utiliser cette "nouvelle" facon ? Ou
doit on repasser par le isakmpd.conf et isakmpd.policy (ou alors juste
rajouter certaines sections afin de durcir les regles par defaut).
Salut
D'après ce qui se dit, la "nouvelle méthode" ipsecctl vise à simplifier
la mise en place d'IPsec, notamment en choisissant les paramètres les
plus pertinents (secures, utiles ...) par défault plutot que d'assommer
l'utilisateur avec des "boutons" trop nombreux, ou pire, lui laisser
faire de mauvais choix. D'où:
- Les params important pour la sécurité comme la propriété de perfect
forward secrecy (PFS) sont mis en place par défault. Il n'y a rien
à faire, c'est activé tout seul, et ça "Just Works" :)
Pour t'en convaincre tu peut consulter les transforms générés
par ta conf avec un : ipsecctl -nvf /etc/ipsec.conf | grep PFS
Bien entendu les SA ont déjà des timeouts, ceux par défaut d'isakmpd.
Cf. isakmpd.conf(5):
Default-phase-1-lifetime= 3600,60:86400
Default-phase-2-lifetime= 1200,60:86400
Tu peut aussi vérifier tout ça en tcpdumpant :
tcpdump -nvs 1500 -i $ton_if
'proto esp or proto ah or (proto udp and port 500 or 4500)'
Bref, c'est peut etre presomptueux de vouloir "durcir les regles
par defaut": ces regles sont deja les plus "dures" possibles (par
ex. le quick mode utilise AES-256, SHA2-256 avec PFS), et choisies
précautioneusement par des experts pour nous éviter de gaffer.
À voir les deux exemples de besoins dont tu parle, on peut dire
que les devs d'ipsecctl ont bien atteint leurs objectifs: ils ont
mis de bons défauts et activés les params dont tu a besoin. CQFD :)
- Si en dépit de la qualité de ces choix tu a besoin d'affiner, alors
oui, par définition ipsecctl ne suffit plus et il faut jouer avec
isakmpd.{conf,policy}.
Pour la derniere question: on peut utiliser simultanément un
isakmpd.conf(5) minimal qui définis certaines valeurs (en particulier
celles des sections [General], [X509-certificates] et [Keynote]) et
utiliser ipsec.conf pour définir le reste (les flows et les SA).
nb: dans -current, il y a beaucoup de nouveautés pour ipsecctl, dont
la possibilité de modifier les "lifetime" des clefs de phases 1 et 2
(je crois que le but n'est pas de pouvoir "durcir" les choses, mais
plutot d'etre intéropérable avec les implems qui n'acceptent pas les
lifetimes par default d'isakmpd: donc aucun intéret si ça marche deja
avec les défauts actuels).
Mais maintenant j'aimerais bien affiner tout ca : par exemple mettre des timeouts sur les SA, utiliser PFS.. A l'heure actuelle, c'est ma Debian (avec Racoon) qui initie la connexion et gere ces parametres mais je souhaite la remplacer par un OpenBSD. Ma question : peut on toujours utiliser cette "nouvelle" facon ? Ou doit on repasser par le isakmpd.conf et isakmpd.policy (ou alors juste rajouter certaines sections afin de durcir les regles par defaut).
Salut D'après ce qui se dit, la "nouvelle méthode" ipsecctl vise à simplifier la mise en place d'IPsec, notamment en choisissant les paramètres les plus pertinents (secures, utiles ...) par défault plutot que d'assommer l'utilisateur avec des "boutons" trop nombreux, ou pire, lui laisser faire de mauvais choix. D'où:
- Les params important pour la sécurité comme la propriété de perfect forward secrecy (PFS) sont mis en place par défault. Il n'y a rien à faire, c'est activé tout seul, et ça "Just Works" :) Pour t'en convaincre tu peut consulter les transforms générés par ta conf avec un : ipsecctl -nvf /etc/ipsec.conf | grep PFS Bien entendu les SA ont déjà des timeouts, ceux par défaut d'isakmpd. Cf. isakmpd.conf(5): Default-phase-1-lifetime= 3600,60:86400 Default-phase-2-lifetime= 1200,60:86400 Tu peut aussi vérifier tout ça en tcpdumpant : tcpdump -nvs 1500 -i $ton_if 'proto esp or proto ah or (proto udp and port 500 or 4500)' Bref, c'est peut etre presomptueux de vouloir "durcir les regles par defaut": ces regles sont deja les plus "dures" possibles (par ex. le quick mode utilise AES-256, SHA2-256 avec PFS), et choisies précautioneusement par des experts pour nous éviter de gaffer. À voir les deux exemples de besoins dont tu parle, on peut dire que les devs d'ipsecctl ont bien atteint leurs objectifs: ils ont mis de bons défauts et activés les params dont tu a besoin. CQFD :)
- Si en dépit de la qualité de ces choix tu a besoin d'affiner, alors oui, par définition ipsecctl ne suffit plus et il faut jouer avec isakmpd.{conf,policy}.
Pour la derniere question: on peut utiliser simultanément un isakmpd.conf(5) minimal qui définis certaines valeurs (en particulier celles des sections [General], [X509-certificates] et [Keynote]) et utiliser ipsec.conf pour définir le reste (les flows et les SA).
nb: dans -current, il y a beaucoup de nouveautés pour ipsecctl, dont la possibilité de modifier les "lifetime" des clefs de phases 1 et 2 (je crois que le but n'est pas de pouvoir "durcir" les choses, mais plutot d'etre intéropérable avec les implems qui n'acceptent pas les lifetimes par default d'isakmpd: donc aucun intéret si ça marche deja avec les défauts actuels).
Pierre
Le 19 Jul 2006 01:10:18 -0700, Pierre écrivait:
Mais maintenant j'aimerais bien affiner tout ca : par exemple mettre des timeouts sur les SA, utiliser PFS.. A l'heure actuelle, c'est ma Debian (avec Racoon) qui initie la connexion et gere ces parametres mais je souhaite la remplacer par un OpenBSD. Ma question : peut on toujours utiliser cette "nouvelle" facon ? Ou doit on repasser par le isakmpd.conf et isakmpd.policy (ou alors juste rajouter certaines sections afin de durcir les regles par defaut).
Salut D'après ce qui se dit, la "nouvelle méthode" ipsecctl vise à simpli fier la mise en place d'IPsec, notamment en choisissant les paramètres les plus pertinents (secures, utiles ...) par défault plutot que d'assommer l'utilisateur avec des "boutons" trop nombreux, ou pire, lui laisser faire de mauvais choix. D'où:
- Les params important pour la sécurité comme la propriété de per fect forward secrecy (PFS) sont mis en place par défault. Il n'y a rien à faire, c'est activé tout seul, et ça "Just Works" :) Pour t'en convaincre tu peut consulter les transforms générés par ta conf avec un : ipsecctl -nvf /etc/ipsec.conf | grep PFS Bien entendu les SA ont déjà des timeouts, ceux par défaut d'isak mpd. Cf. isakmpd.conf(5): Default-phase-1-lifetime= 3600,60:86400 Default-phase-2-lifetime= 1200,60:86400 Tu peut aussi vérifier tout ça en tcpdumpant : tcpdump -nvs 1500 -i $ton_if 'proto esp or proto ah or (proto udp and port 500 or 4500)' Bref, c'est peut etre presomptueux de vouloir "durcir les regles par defaut": ces regles sont deja les plus "dures" possibles (par ex. le quick mode utilise AES-256, SHA2-256 avec PFS), et choisies précautioneusement par des experts pour nous éviter de gaffer. À voir les deux exemples de besoins dont tu parle, on peut dire que les devs d'ipsecctl ont bien atteint leurs objectifs: ils ont mis de bons défauts et activés les params dont tu a besoin. CQFD :)
- Si en dépit de la qualité de ces choix tu a besoin d'affiner, alors oui, par définition ipsecctl ne suffit plus et il faut jouer avec isakmpd.{conf,policy}.
Pour la derniere question: on peut utiliser simultanément un isakmpd.conf(5) minimal qui définis certaines valeurs (en particulier celles des sections [General], [X509-certificates] et [Keynote]) et utiliser ipsec.conf pour définir le reste (les flows et les SA).
nb: dans -current, il y a beaucoup de nouveautés pour ipsecctl, dont la possibilité de modifier les "lifetime" des clefs de phases 1 et 2 (je crois que le but n'est pas de pouvoir "durcir" les choses, mais plutot d'etre intéropérable avec les implems qui n'acceptent pas les lifetimes par default d'isakmpd: donc aucun intéret si ça marche deja avec les défauts actuels).
Bonjour,
Effectivement, j'ai remarque apres coup (via ipsecctl -nv -f /etc/ipsec.conf) que le PFS etait active. Restait la question des "lifetimes" car par defaut aucun isakmpd.conf n'etait present sur mon systeme. Et ne voyant rien dans la sortie verbeuse de ipsecctl, je me posais la question. Je ne voulais pas paraitre arrogant mais je me posais seulement des questions : ipsecctl est "assez" recent (depuis la 3.8), donc je me demandais s'il etait possible de gerer plus "finement" les parametres (et comme tu le fais remarquer, ca me permet de coller au plus pres de mes configs racoon). En tout cas, je garde un oeil dessus car les derniers ajouts (-current) sont sympathiques :)
Merci de ta reponse.
Le 19 Jul 2006 01:10:18 -0700,
Pierre <TuxPierre@gmail.com> écrivait:
Mais maintenant j'aimerais bien affiner tout ca : par exemple mettre
des timeouts sur les SA, utiliser PFS.. A l'heure actuelle, c'est ma
Debian (avec Racoon) qui initie la connexion et gere ces parametres
mais je souhaite la remplacer par un OpenBSD.
Ma question : peut on toujours utiliser cette "nouvelle" facon ? Ou
doit on repasser par le isakmpd.conf et isakmpd.policy (ou alors juste
rajouter certaines sections afin de durcir les regles par defaut).
Salut
D'après ce qui se dit, la "nouvelle méthode" ipsecctl vise à simpli fier
la mise en place d'IPsec, notamment en choisissant les paramètres les
plus pertinents (secures, utiles ...) par défault plutot que d'assommer
l'utilisateur avec des "boutons" trop nombreux, ou pire, lui laisser
faire de mauvais choix. D'où:
- Les params important pour la sécurité comme la propriété de per fect
forward secrecy (PFS) sont mis en place par défault. Il n'y a rien
à faire, c'est activé tout seul, et ça "Just Works" :)
Pour t'en convaincre tu peut consulter les transforms générés
par ta conf avec un : ipsecctl -nvf /etc/ipsec.conf | grep PFS
Bien entendu les SA ont déjà des timeouts, ceux par défaut d'isak mpd.
Cf. isakmpd.conf(5):
Default-phase-1-lifetime= 3600,60:86400
Default-phase-2-lifetime= 1200,60:86400
Tu peut aussi vérifier tout ça en tcpdumpant :
tcpdump -nvs 1500 -i $ton_if
'proto esp or proto ah or (proto udp and port 500 or 4500)'
Bref, c'est peut etre presomptueux de vouloir "durcir les regles
par defaut": ces regles sont deja les plus "dures" possibles (par
ex. le quick mode utilise AES-256, SHA2-256 avec PFS), et choisies
précautioneusement par des experts pour nous éviter de gaffer.
À voir les deux exemples de besoins dont tu parle, on peut dire
que les devs d'ipsecctl ont bien atteint leurs objectifs: ils ont
mis de bons défauts et activés les params dont tu a besoin. CQFD :)
- Si en dépit de la qualité de ces choix tu a besoin d'affiner, alors
oui, par définition ipsecctl ne suffit plus et il faut jouer avec
isakmpd.{conf,policy}.
Pour la derniere question: on peut utiliser simultanément un
isakmpd.conf(5) minimal qui définis certaines valeurs (en particulier
celles des sections [General], [X509-certificates] et [Keynote]) et
utiliser ipsec.conf pour définir le reste (les flows et les SA).
nb: dans -current, il y a beaucoup de nouveautés pour ipsecctl, dont
la possibilité de modifier les "lifetime" des clefs de phases 1 et 2
(je crois que le but n'est pas de pouvoir "durcir" les choses, mais
plutot d'etre intéropérable avec les implems qui n'acceptent pas les
lifetimes par default d'isakmpd: donc aucun intéret si ça marche deja
avec les défauts actuels).
Bonjour,
Effectivement, j'ai remarque apres coup (via ipsecctl -nv -f
/etc/ipsec.conf) que le PFS etait active. Restait la question des
"lifetimes" car par defaut aucun isakmpd.conf n'etait present sur mon
systeme. Et ne voyant rien dans la sortie verbeuse de ipsecctl, je me
posais la question.
Je ne voulais pas paraitre arrogant mais je me posais seulement des
questions : ipsecctl est "assez" recent (depuis la 3.8), donc je me
demandais s'il etait possible de gerer plus "finement" les parametres
(et comme tu le fais remarquer, ca me permet de coller au plus pres de
mes configs racoon).
En tout cas, je garde un oeil dessus car les derniers ajouts (-current)
sont sympathiques :)
Mais maintenant j'aimerais bien affiner tout ca : par exemple mettre des timeouts sur les SA, utiliser PFS.. A l'heure actuelle, c'est ma Debian (avec Racoon) qui initie la connexion et gere ces parametres mais je souhaite la remplacer par un OpenBSD. Ma question : peut on toujours utiliser cette "nouvelle" facon ? Ou doit on repasser par le isakmpd.conf et isakmpd.policy (ou alors juste rajouter certaines sections afin de durcir les regles par defaut).
Salut D'après ce qui se dit, la "nouvelle méthode" ipsecctl vise à simpli fier la mise en place d'IPsec, notamment en choisissant les paramètres les plus pertinents (secures, utiles ...) par défault plutot que d'assommer l'utilisateur avec des "boutons" trop nombreux, ou pire, lui laisser faire de mauvais choix. D'où:
- Les params important pour la sécurité comme la propriété de per fect forward secrecy (PFS) sont mis en place par défault. Il n'y a rien à faire, c'est activé tout seul, et ça "Just Works" :) Pour t'en convaincre tu peut consulter les transforms générés par ta conf avec un : ipsecctl -nvf /etc/ipsec.conf | grep PFS Bien entendu les SA ont déjà des timeouts, ceux par défaut d'isak mpd. Cf. isakmpd.conf(5): Default-phase-1-lifetime= 3600,60:86400 Default-phase-2-lifetime= 1200,60:86400 Tu peut aussi vérifier tout ça en tcpdumpant : tcpdump -nvs 1500 -i $ton_if 'proto esp or proto ah or (proto udp and port 500 or 4500)' Bref, c'est peut etre presomptueux de vouloir "durcir les regles par defaut": ces regles sont deja les plus "dures" possibles (par ex. le quick mode utilise AES-256, SHA2-256 avec PFS), et choisies précautioneusement par des experts pour nous éviter de gaffer. À voir les deux exemples de besoins dont tu parle, on peut dire que les devs d'ipsecctl ont bien atteint leurs objectifs: ils ont mis de bons défauts et activés les params dont tu a besoin. CQFD :)
- Si en dépit de la qualité de ces choix tu a besoin d'affiner, alors oui, par définition ipsecctl ne suffit plus et il faut jouer avec isakmpd.{conf,policy}.
Pour la derniere question: on peut utiliser simultanément un isakmpd.conf(5) minimal qui définis certaines valeurs (en particulier celles des sections [General], [X509-certificates] et [Keynote]) et utiliser ipsec.conf pour définir le reste (les flows et les SA).
nb: dans -current, il y a beaucoup de nouveautés pour ipsecctl, dont la possibilité de modifier les "lifetime" des clefs de phases 1 et 2 (je crois que le but n'est pas de pouvoir "durcir" les choses, mais plutot d'etre intéropérable avec les implems qui n'acceptent pas les lifetimes par default d'isakmpd: donc aucun intéret si ça marche deja avec les défauts actuels).
Bonjour,
Effectivement, j'ai remarque apres coup (via ipsecctl -nv -f /etc/ipsec.conf) que le PFS etait active. Restait la question des "lifetimes" car par defaut aucun isakmpd.conf n'etait present sur mon systeme. Et ne voyant rien dans la sortie verbeuse de ipsecctl, je me posais la question. Je ne voulais pas paraitre arrogant mais je me posais seulement des questions : ipsecctl est "assez" recent (depuis la 3.8), donc je me demandais s'il etait possible de gerer plus "finement" les parametres (et comme tu le fais remarquer, ca me permet de coller au plus pres de mes configs racoon). En tout cas, je garde un oeil dessus car les derniers ajouts (-current) sont sympathiques :)
