On Fri, Jan 04, 2002 at 01:31:59PM, Kennedy van Dam Eric wrote: > Il existe 2 authetifications si j'ai bien compris. Celles des hôtes et celles > des paquets. Pour celle des hôtes, j'ai choisi d'utiliser un jeu de clés RSA. > Pour l'authentification des paquets, je préférais effectivement le mode ESP. > Pour le moment, je suis plongé dans des fichiers d'exemple et je dois avouer > que c'est assez nébuleux. > > Je vois que je peux spécifier une durée de vie pour la clé. oui, mais > laquelle ? ils utilisent ESP pour l'authentification ET l'encryption... Je > suis perdu totalement là... > Heu oui mais non. Il y a deux sortes d'authentification, ça d'accord. Il ne faut pas confonfre l'intégrité des données et l'authentification. Les modes AH et ESP intègrent tous les deux une vérification de l'intégrité des données. Pour la durée de vie des clés, encore une fois, tout dépend de ce que tu veux faire. Si tu as des données sensibles à moyen ou long terme, tu as besoin d'une cryptographie lourde (et donc gourmande en CPU!). Si tes données ont une durée de vie courte, pas besoin de les chiffrer avec un algorithme qui tient le coup des siècles. Il faut être raisonnable. De plus, dans le cas d'IPSec, il y a 2 jeu de clés: 1) une paire pour la phase 1 de IKE (où l'on négocie les paramètres futurs) 2) une paire de clés négociée durant la phase 1. Elle sert à l'encryption de masse des données à transmettre Il faut donc voir la durée de quelle paire tu veux paramétrer. Le mode ESP supporte à la fois l'encryption ET l'authentification. Il n'est pas obligatoire d'activer les deux. On positionne alors un des deux avec l'algorithme NULL. Note qu'au moins un des deux doit être différent de NULL. Le mode AH, sauf erreur, ne sert qu'à l'authentification. L'authentification de AH est plus forte que celle de ESP. Le tout est de savoir si par exemple, tu préfères qu'on ne sache pas ce qu'il y a sur ton compte en banque ou que l'on ne sache pas y toucher... Note que le mode ESP offre une protection contre l'analyse du trafic. > > Tu peux aussi cumuler: authentifier à partir de l'hôte en mode transport > > AH puis faire passer ce paquet authentifié à travers un tunnel ESP entre > > les deux passerelles. Ceci a le désavantage de ne pas être transparent > > au niveau des hôtes puisqu'il faut IPSec installé et configuré sur > > chacun d'eux. A noter aussi que la phase de négociation de l'échange se > > fera en plusieurs endroits. Une négotiation IKE pour le transfert > > transport AH d'hôte à hôte et une autre pour le tunnel entre les > > passerelles. > > Heu... si tu le dis, je te crois... > Le mieux est de jeter un oeil sur la RFC. Ce sera plus clair. La partie sur les cumulations de SA (Security Association) n'est pas bien compliquée à comprendre. > > D'autres configurations possibles sont présentées dans la RFC. Voir si > > freeswan les supporte. > > > > Donc ESP est ton amis. ;-) > > oui, oui, tout à fait d'accord... dès que j'aurai compris comment ça marche... > (Allo ? le magasin central ? pourriez-vous commander d'urgence 200 tubes > d'aspirine ?) > Franchement, la RFC 2401 est faite pour toi. De plus, il y a plein de doc de "vulgarisation" sur IPSec. Je crois que tu ne sauras pas mettre en place une politique de sécurité convenable avec IPSec si tu ne connais pas un minimum le système. Je m'y intéresse pour mon TFE et je peux t'assurer que certains problèmes ne sont pas franchement évident... Allez courage et bon amusement Ben > -- > Eric Kennedy van Dam > Administrateur Système - Ingénieur Certifié RedHat > email: eric.kennedy@telecom.fpms.ac.be > url: http://www.telecom.fpms.ac.be > > [ Soyez précis dans vos sujets svp afin de déterminer directement ] > [ le type de demande... ] > [ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ] > [ Archives de la mailing list: http://archives.unixtech.be/linux/ ] > [ http://unixtech.be Contact: listmaster@unixtech.be ] ---end quoted text--- -- Benoit JOSEPH Manex SPRL: benoit.joseph@manex.be Perso: joker@baby-linux.net benoit.joseph@teledisnet.be
Attachment:
pgp00883.pgp
Description: PGP signature