Salut,

Je viens de mettre en place une liaision IPSEC entre un OpenBSD 3.9 et
une Debian. Tout marche pour le mieux. Sur OpenBSD, j'utilise la
"nouvelle" version (cf http://www.securityfocus.com/infocus/1859 ).
Mais maintenant j'aimerais bien affiner tout ca : par exemple mettre
des timeouts sur les SA, utiliser PFS.. A l'heure actuelle, c'est ma
Debian (avec Racoon) qui initie la connexion et gere ces parametres
mais je souhaite la remplacer par un OpenBSD.
Ma question : peut on toujours utiliser cette "nouvelle" facon ? Ou
doit on repasser par le isakmpd.conf et isakmpd.policy (ou alors juste
rajouter certaines sections afin de durcir les regles par defaut).

Merci

Le 19 Jul 2006 01:10:18 -0700,
Pierre <TuxPierre@gmail.com> écrivait:
>
> Mais maintenant j'aimerais bien affiner tout ca : par exemple mettre
> des timeouts sur les SA, utiliser PFS.. A l'heure actuelle, c'est ma
> Debian (avec Racoon) qui initie la connexion et gere ces parametres
> mais je souhaite la remplacer par un OpenBSD.
> Ma question : peut on toujours utiliser cette "nouvelle" facon ? Ou
> doit on repasser par le isakmpd.conf et isakmpd.policy (ou alors juste
> rajouter certaines sections afin de durcir les regles par defaut).

Salut
D'après ce qui se dit, la "nouvelle méthode" ipsecctl vise à simplifier
la mise en place d'IPsec, notamment en choisissant les paramètres les
plus pertinents (secures, utiles ...) par défault plutot que d'assommer
l'utilisateur avec des "boutons" trop nombreux, ou pire, lui laisser
faire de mauvais choix. D'où:

- Les params important pour la sécurité comme la propriété de perfect
forward secrecy (PFS) sont mis en place par défault. Il n'y a rien
à faire, c'est activé tout seul, et ça "Just Works"
Pour t'en convaincre tu peut consulter les transforms générés
par ta conf avec un : ipsecctl -nvf /etc/ipsec.conf | grep PFS
Bien entendu les SA ont déjà des timeouts, ceux par défaut d'isakmpd.
Cf. isakmpd.conf(5):
Default-phase-1-lifetime= 3600,60:86400
Default-phase-2-lifetime= 1200,60:86400
Tu peut aussi vérifier tout ça en tcpdumpant :
tcpdump -nvs 1500 -i $ton_if \
'proto \esp or proto \ah or (proto \udp and port 500 or 4500)'
Bref, c'est peut etre presomptueux de vouloir "durcir les regles
par defaut": ces regles sont deja les plus "dures" possibles (par
ex. le quick mode utilise AES-256, SHA2-256 avec PFS), et choisies
précautioneusement par des experts pour nous éviter de gaffer.
À voir les deux exemples de besoins dont tu parle, on peut dire
que les devs d'ipsecctl ont bien atteint leurs objectifs: ils ont
mis de bons défauts et activés les params dont tu a besoin. CQFD

- Si en dépit de la qualité de ces choix tu a besoin d'affiner, alors
oui, par définition ipsecctl ne suffit plus et il faut jouer avec
isakmpd.{conf,policy}.

Pour la derniere question: on peut utiliser simultanément un
isakmpd.conf(5) minimal qui définis certaines valeurs (en particulier
celles des sections [General], [X509-certificates] et [Keynote]) et
utiliser ipsec.conf pour définir le reste (les flows et les SA).

nb: dans -current, il y a beaucoup de nouveautés pour ipsecctl, dont
la possibilité de modifier les "lifetime" des clefs de phases 1 et 2
(je crois que le but n'est pas de pouvoir "durcir" les choses, mais
plutot d'etre intéropérable avec les implems qui n'acceptent pas les
lifetimes par default d'isakmpd: donc aucun intéret si ça marche deja
avec les défauts actuels).

Benjamin Pineau a écrit :

> Le 19 Jul 2006 01:10:18 -0700,
> Pierre <TuxPierre@gmail.com> écrivait:
> >
> > Mais maintenant j'aimerais bien affiner tout ca : par exemple mettre
> > des timeouts sur les SA, utiliser PFS.. A l'heure actuelle, c'est ma
> > Debian (avec Racoon) qui initie la connexion et gere ces parametres
> > mais je souhaite la remplacer par un OpenBSD.
> > Ma question : peut on toujours utiliser cette "nouvelle" facon ? Ou
> > doit on repasser par le isakmpd.conf et isakmpd.policy (ou alors juste
> > rajouter certaines sections afin de durcir les regles par defaut).
>
> Salut
> D'après ce qui se dit, la "nouvelle méthode" ipsecctl vise à simplifier
> la mise en place d'IPsec, notamment en choisissant les paramètres les
> plus pertinents (secures, utiles ...) par défault plutot que d'assommer
> l'utilisateur avec des "boutons" trop nombreux, ou pire, lui laisser
> faire de mauvais choix. D'où:
>
> - Les params important pour la sécurité comme la propriété de perfect
> forward secrecy (PFS) sont mis en place par défault. Il n'y a rien
> à faire, c'est activé tout seul, et ça "Just Works"
> Pour t'en convaincre tu peut consulter les transforms générés
> par ta conf avec un : ipsecctl -nvf /etc/ipsec.conf | grep PFS
> Bien entendu les SA ont déjà des timeouts, ceux par défaut d'isakmpd.
> Cf. isakmpd.conf(5):
> Default-phase-1-lifetime= 3600,60:86400
> Default-phase-2-lifetime= 1200,60:86400
> Tu peut aussi vérifier tout ça en tcpdumpant :
> tcpdump -nvs 1500 -i $ton_if \
> 'proto \esp or proto \ah or (proto \udp and port 500 or 4500)'
> Bref, c'est peut etre presomptueux de vouloir "durcir les regles
> par defaut": ces regles sont deja les plus "dures" possibles (par
> ex. le quick mode utilise AES-256, SHA2-256 avec PFS), et choisies
> précautioneusement par des experts pour nous éviter de gaffer.
> À voir les deux exemples de besoins dont tu parle, on peut dire
> que les devs d'ipsecctl ont bien atteint leurs objectifs: ils ont
> mis de bons défauts et activés les params dont tu a besoin. CQFD
>
> - Si en dépit de la qualité de ces choix tu a besoin d'affiner, alors
> oui, par définition ipsecctl ne suffit plus et il faut jouer avec
> isakmpd.{conf,policy}.
>
> Pour la derniere question: on peut utiliser simultanément un
> isakmpd.conf(5) minimal qui définis certaines valeurs (en particulier
> celles des sections [General], [X509-certificates] et [Keynote]) et
> utiliser ipsec.conf pour définir le reste (les flows et les SA).
>
> nb: dans -current, il y a beaucoup de nouveautés pour ipsecctl, dont
> la possibilité de modifier les "lifetime" des clefs de phases 1 et 2
> (je crois que le but n'est pas de pouvoir "durcir" les choses, mais
> plutot d'etre intéropérable avec les implems qui n'acceptent pas les
> lifetimes par default d'isakmpd: donc aucun intéret si ça marche deja
> avec les défauts actuels).

Bonjour,

Effectivement, j'ai remarque apres coup (via ipsecctl -nv -f
/etc/ipsec.conf) que le PFS etait active. Restait la question des
"lifetimes" car par defaut aucun isakmpd.conf n'etait present sur mon
systeme. Et ne voyant rien dans la sortie verbeuse de ipsecctl, je me
posais la question.
Je ne voulais pas paraitre arrogant mais je me posais seulement des
questions : ipsecctl est "assez" recent (depuis la 3.8), donc je me
demandais s'il etait possible de gerer plus "finement" les parametres
(et comme tu le fais remarquer, ca me permet de coller au plus pres de
mes configs racoon).
En tout cas, je garde un oeil dessus car les derniers ajouts (-current)
sont sympathiques

Merci de ta reponse.