AH/ESP, Racoon

Le
Vincent Bernat
Coucou !

Lorsque que l'on configure manuellement un 2.6 pour faire de l'IPsec,
on définit des associations de sécurité permettant ensuite d'utiliser
AH dans la politique de sécurité. Si maintenant, on rajoute quelque
chose comme Racoon pour gérer automatiquement les associations de
sécurité, tous les exemples que j'ai vu font passer AH à la trappe.

Est-ce dû au fait que l'on considère que l'authentification passe par
l'échange de clefs ou le challenge avec le serveur ISAKMP ?
--
Use the good features of a language; avoid the bad ones.
- The Elements of Programming Style (Kernighan & Plaugher)
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Eric Masson
Le #560677
"Vincent" == Vincent Bernat





'Lut,

Vincent> Lorsque que l'on configure manuellement un 2.6 pour
Vincent> faire de l'IPsec, on définit des associations de sécurité
Vincent> permettant ensuite d'utiliser AH dans la politique de
Vincent> sécurité. Si maintenant, on rajoute quelque chose comme Racoon
Vincent> pour gérer automatiquement les associations de sécurité, tous
Vincent> les exemples que j'ai vu font passer AH à la trappe.

IIrc, la sÃrie 2.6 utilise KAME, donc logiquement, tu dois configurer
des SP via setkey (exemple de configuration à passer à setkey)

flush ;
spdflush ;

spdadd 0.0.0.0/0 0.0.0.0/0[53] any -P out none ;
spdadd 0.0.0.0/0[53] 0.0.0.0/0 any -P in none ;

spdadd 0.0.0.0/0 0.0.0.0/0 any -P out ipsec esp/transport//use ;
spdadd 0.0.0.0/0 0.0.0.0/0 any -P in ipsec esp/transport//use ;

Rien ne t'empÃche àce moment d'ajouter une policy ah (valide uniquement
en mode transport), racoon utilisera la SPD pour dÃterminer les SA qu'il
doit nÃgocier avec le peer.

Eric Masson

--
Ce qu'il y a de cruel, avec ces forums, c'est qu'ils nous confrontent
impitoyablement aux insoutenables limites de l'intelligence humaine. On
ne saurait être humaniste sans en concevoir une profonde angoisse.
-+-DL in




Vincent Bernat
Le #560452
OoO En ce début d'après-midi nuageux du vendredi 09 avril 2004, vers
14:19, Eric Masson
Rien ne t'empêche à ce moment d'ajouter une policy ah (valide uniquement
en mode transport)


J'utilisais justement AH en mode tunnel. Ce n'est en fait pas
possible/conseillé ?
--
A BELCH IS NOT AN ORAL REPORT
A BELCH IS NOT AN ORAL REPORT
A BELCH IS NOT AN ORAL REPORT
-+- Bart Simpson on chalkboard in episode BABF11

Eric Masson
Le #560042
"Vincent" == Vincent Bernat





'Lut,

Vincent> J'utilisais justement AH en mode tunnel. Ce n'est en fait pas
Vincent> possible/conseillé ?

Vérifies dans les archives sur http://www.Kame.net, iirc, tu devrais y
trouver une explication sur le pourquoi de leur position plus que
réservée sur l'utilisation d'ah en mode tunnel.

Eric Masson

--
Créons donc un groupe spécial pour les cons et les connes. Tu seras la
modératrice en chef.
-+- C in




Publicité
Poster une réponse
Anonyme