Je me pose des questions sur un design de plusieurs firewalls
interconnectant les reseaux prives derriere ceux-ci.
Topologie est une grosse paire au mileu avec 6 autres lui parlant. Bande
passante du point "central", 32Mbits.
Les pare-feux sont tous de type Cis** P** 515 avec 128M RAM et une carte
d'acceleration VPN
On me suggere ceci,
Phase 1 avec une duree de vie de 6 heures,
Phase 2 avec une duree de vie de 3 heures,
PFS, AES et MD5 tantque possible.
Est-ce que ca va tenir? Quel(s) avantage(s) a diminuer ces temps de vie?
et a ajouter le PFS au dessus de tout? Est-ce plus securise de jouer sur
ces temps de vie?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
VANHULLEBUS Yvan
Raphael® writes:
Bonjour,
Je me pose des questions sur un design de plusieurs firewalls interconnectant les reseaux prives derriere ceux-ci.
Topologie est une grosse paire au mileu avec 6 autres lui parlant. Bande passante du point "central", 32Mbits.
Les pare-feux sont tous de type Cis** P** 515 avec 128M RAM et une carte d'acceleration VPN
On me suggere ceci,
Phase 1 avec une duree de vie de 6 heures, Phase 2 avec une duree de vie de 3 heures,
Algorithmes de chiffrement, de hash, et groupe DH ???
Mode principal ou aggressif ? Cles prepartageees ou certificats ?
PFS, AES et MD5 tantque possible.
MD5 ? Quel groupe DH pour le PFS ? Quelle taille de cle pour l'AES ?
Est-ce que ca va tenir? Quel(s) avantage(s) a diminuer ces temps de vie? et a ajouter le PFS au dessus de tout? Est-ce plus securise de jouer sur ces temps de vie?
La phase 1 sert "uniquement" a s'authentifier mutuellement et a negocier les phases 2 de facon chiffree (ok, je shematise un peu, la, y'a aussi tous les message d'informations, etc....).
Mais en gros, la duree de vie de la phase1 est surtout interessante a exprimer en multiple de duree de vie de phase2 ("combien de phases2 je vais negocier avec une IsakmpSA ?").
Diminuer les durees de vie fait augmenter la frequence des renegociations (en supposant que les tunnels sont maintenus a peu pres en permanence). En theorie c'est mieux, puisque ca reduit la duree de vie d'une SA, donc la duree de validite et la quantite d'utilisation d'une cle, donc ca reduit les possibilites d'attaques sur les cles.....
En pratique, franchement, avec une bonne phase1, et de l'AES en phase2, j'aimerais bien voir une attaque reussie sur une IPSec SA (phase2, donc) d'une duree de vie de quelques heures, meme avec beaucoup de traffic......
Mais avant de se demander si 6h / 3h c'est beaucoup comme duree de vie, faudrait d'abord se poser les autres questions que j'ai pose au dessus, qui me parraissent nettement plus important....
Quand a la question "est-ce que ca va tenir", non seulement j'en sais rien (je sais pas ce que valent ces produits la), mais en plus je me demande si ca serait pas une question plus appropriee ailleurs (fr.comp.reseaux ? fr.comp.securite ? autrepart ?).
A +
VANHU.
Raphael® <raphael@mydomain.lan> writes:
Bonjour,
Je me pose des questions sur un design de plusieurs firewalls
interconnectant les reseaux prives derriere ceux-ci.
Topologie est une grosse paire au mileu avec 6 autres lui
parlant. Bande passante du point "central", 32Mbits.
Les pare-feux sont tous de type Cis** P** 515 avec 128M RAM et une
carte d'acceleration VPN
On me suggere ceci,
Phase 1 avec une duree de vie de 6 heures,
Phase 2 avec une duree de vie de 3 heures,
Algorithmes de chiffrement, de hash, et groupe DH ???
Mode principal ou aggressif ?
Cles prepartageees ou certificats ?
PFS, AES et MD5 tantque possible.
MD5 ?
Quel groupe DH pour le PFS ?
Quelle taille de cle pour l'AES ?
Est-ce que ca va tenir? Quel(s) avantage(s) a diminuer ces temps de
vie? et a ajouter le PFS au dessus de tout? Est-ce plus securise de
jouer sur ces temps de vie?
La phase 1 sert "uniquement" a s'authentifier mutuellement et a
negocier les phases 2 de facon chiffree (ok, je shematise un peu, la,
y'a aussi tous les message d'informations, etc....).
Mais en gros, la duree de vie de la phase1 est surtout interessante a
exprimer en multiple de duree de vie de phase2 ("combien de phases2 je
vais negocier avec une IsakmpSA ?").
Diminuer les durees de vie fait augmenter la frequence des
renegociations (en supposant que les tunnels sont maintenus a peu pres
en permanence).
En theorie c'est mieux, puisque ca reduit la duree de vie d'une SA,
donc la duree de validite et la quantite d'utilisation d'une cle, donc
ca reduit les possibilites d'attaques sur les cles.....
En pratique, franchement, avec une bonne phase1, et de l'AES en
phase2, j'aimerais bien voir une attaque reussie sur une IPSec SA
(phase2, donc) d'une duree de vie de quelques heures, meme avec
beaucoup de traffic......
Mais avant de se demander si 6h / 3h c'est beaucoup comme duree de
vie, faudrait d'abord se poser les autres questions que j'ai pose au
dessus, qui me parraissent nettement plus important....
Quand a la question "est-ce que ca va tenir", non seulement j'en sais
rien (je sais pas ce que valent ces produits la), mais en plus je me
demande si ca serait pas une question plus appropriee ailleurs
(fr.comp.reseaux ? fr.comp.securite ? autrepart ?).
Je me pose des questions sur un design de plusieurs firewalls interconnectant les reseaux prives derriere ceux-ci.
Topologie est une grosse paire au mileu avec 6 autres lui parlant. Bande passante du point "central", 32Mbits.
Les pare-feux sont tous de type Cis** P** 515 avec 128M RAM et une carte d'acceleration VPN
On me suggere ceci,
Phase 1 avec une duree de vie de 6 heures, Phase 2 avec une duree de vie de 3 heures,
Algorithmes de chiffrement, de hash, et groupe DH ???
Mode principal ou aggressif ? Cles prepartageees ou certificats ?
PFS, AES et MD5 tantque possible.
MD5 ? Quel groupe DH pour le PFS ? Quelle taille de cle pour l'AES ?
Est-ce que ca va tenir? Quel(s) avantage(s) a diminuer ces temps de vie? et a ajouter le PFS au dessus de tout? Est-ce plus securise de jouer sur ces temps de vie?
La phase 1 sert "uniquement" a s'authentifier mutuellement et a negocier les phases 2 de facon chiffree (ok, je shematise un peu, la, y'a aussi tous les message d'informations, etc....).
Mais en gros, la duree de vie de la phase1 est surtout interessante a exprimer en multiple de duree de vie de phase2 ("combien de phases2 je vais negocier avec une IsakmpSA ?").
Diminuer les durees de vie fait augmenter la frequence des renegociations (en supposant que les tunnels sont maintenus a peu pres en permanence). En theorie c'est mieux, puisque ca reduit la duree de vie d'une SA, donc la duree de validite et la quantite d'utilisation d'une cle, donc ca reduit les possibilites d'attaques sur les cles.....
En pratique, franchement, avec une bonne phase1, et de l'AES en phase2, j'aimerais bien voir une attaque reussie sur une IPSec SA (phase2, donc) d'une duree de vie de quelques heures, meme avec beaucoup de traffic......
Mais avant de se demander si 6h / 3h c'est beaucoup comme duree de vie, faudrait d'abord se poser les autres questions que j'ai pose au dessus, qui me parraissent nettement plus important....
Quand a la question "est-ce que ca va tenir", non seulement j'en sais rien (je sais pas ce que valent ces produits la), mais en plus je me demande si ca serait pas une question plus appropriee ailleurs (fr.comp.reseaux ? fr.comp.securite ? autrepart ?).
