[FRnOG] [TECH] MacSec sur le WAN et homologation l'ANSSI

2023-01-31 Thread Michael Bloumderg 
Bonjour à tous,

Sauriez-vous si l'ANSSI a validé la technologie MacSec sur du WAN  ?

Par exemple, Juniper/Nokia/Cisco/HP… le supportent :

[image: image.png]
https://www.juniper.net/documentation/us/en/software/junos/security-services/topics/topic-map/understanding_media_access_control_security_wan.html

C'est une technologie niveau 2 qui commence à être assez populaire et
répandue, mais je ne trouve malheureusement pas de référence sur le site de
l'ANSSI dessus, ils sont plutôt sur de l'IPSEC ancien,

Merci pour vos éclaircissements, et retours d'expérience si vous en avez.

Michael

[FRnOG] [TECH] MacSec sur le WAN et homologation l'ANSSI

2023-01-31 Thread Michael Bloumderg 
Bonjour à tous,

Sauriez-vous si l'ANSSI a validé la technologie MacSec sur du WAN  ?

Par exemple, Juniper/Nokia/Cisco/HP… le supportent :

[image: image.png]
https://www.juniper.net/documentation/us/en/software/junos/security-services/topics/topic-map/understanding_media_access_control_security_wan.html

C'est une technologie niveau 2 qui commence à être assez populaire et
répandue, mais je ne trouve malheureusement pas de référence sur le site de
l'ANSSI dessus, ils sont plutôt sur de l'IPSEC ancien,

Merci pour vos éclaircissements, et retours d'expérience si vous en avez.

Michael

Re: [FRnOG] [TECH] MacSec sur le WAN et homologation l'ANSSI

2023-01-31 Thread vienuj vienuj 

Hello,


l'ANSSI n'a toujours pas validé MACSEC bien qu'il apparaisse dans 
certaines de ses docs. Je trouve cela dommage car en effet, lors de 
connexion point à point MACSEC est plus avantageux en terme de perf 
qu'IPSEC...mais que fait l'ANSSI??


A noter aussi que MACSEC n'est possible qu'à travers un L2VPN ou une 
connexion en direct attach (ou back to back), les adresses AMC étant 
authentifiées compliqué de mettre un équipements tiers au milieu.


Julien

Le 31/01/2023 à 11:30, Michael Bloumderg a écrit :

Bonjour à tous,

Sauriez-vous si l'ANSSI a validé la technologie MacSec sur du WAN  ?

Par exemple, Juniper/Nokia/Cisco/HP… le supportent :

image.pnghttps://www.juniper.net/documentation/us/en/software/junos/security-services/topics/topic-map/understanding_media_access_control_security_wan.html

C'est une technologie niveau 2 qui commence à être assez populaire et 
répandue, mais je ne trouve malheureusement pas de référence sur le 
site de l'ANSSI dessus, ils sont plutôt sur de l'IPSEC ancien,


Merci pour vos éclaircissements, et retours d'expérience si vous en avez.

Michael

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] MacSec sur le WAN et homologation l'ANSSI

2023-01-31 Thread Pierre Emeriaud 
> A noter aussi que MACSEC n'est possible qu'à travers un L2VPN ou une
> connexion en direct attach (ou back to back), les adresses AMC étant
> authentifiées compliqué de mettre un équipements tiers au milieu.

Attention si vous décidez d'utiliser macsec à travers un l2vpn fourni
par un opérateur tiers, s'il y a un quelconque équilibrage de charge
dans son réseau à travers de multiple liens (ecmp, lag, whatever), ce
qui est fort probable, il faut IMPÉRATIVEMENT paramétrer un
replay-window supérieur à zéro (valeur à déterminer), faute de quoi
vous constaterez de la perte de paquets, alors que l'opérateur qui
gère le l2vpn ne constatera absolument rien (et il aura raison).

J'ai passé pas mal de temps la première fois qu'on m'a remonté ce
"problème" pour démontrer à un client que tout allait bien de mon côté
avant de me rendre compte que c'était à cause de son anti-rejeu trop
strict que certains paquets étaient refusés par son catalyst...

Certaines plateformes ne l'activent pas par défaut[0] et ne
mentionnent même pas l'inconvénient d'une telle option, d'autres[1]
utilisent une valeur par défaut de 0 (!) mais précisent toutefois que
les réseaux métro sont sujets à un ré-ordonnancement des paquets,
enfin certaines[2] ont un anti-rejeu activé et non-nul (64) avec une
note bien explicite concernant les réseaux d'opérateurs qui sont
"hautement susceptibles de réordonner les paquets".

FWIW, la norme IEEE 802.1AE-2018 (accessible avec un compte gratuit,
vous avez du bol) définit le replayWindow entre 0 et 2^32-1 avec une
valeur par défaut de 0... Attention donc !

[0] 
https://www.juniper.net/documentation/us/en/software/junos/security-services/topics/task/macsec-configuring-advanced.html#replay-protection
[1] 
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/16-9/configuration_guide/sec/b_169_sec_9300_cg/macsec_encryption.html#concept_qxd_jy1_44b
[2] 
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/macsec/configuration/xe-3s/macsec-xe-3s-book.html#concept_12C40FCBE097497089C0C7429576A422


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] MacSec sur le WAN et homologation l'ANSSI

2023-02-06 Thread Sylvain Leroy via frnog 

Le 31/01/2023 à 11:30, Michael Bloumderg a écrit :

Bonjour à tous,

Sauriez-vous si l'ANSSI a validé la technologie MacSec sur du WAN  ?

Par exemple, Juniper/Nokia/Cisco/HP… le supportent :

image.pnghttps://www.juniper.net/documentation/us/en/software/junos/security-services/topics/topic-map/understanding_media_access_control_security_wan.html
 


C'est une technologie niveau 2 qui commence à être assez populaire et 
répandue, mais je ne trouve malheureusement pas de référence sur le site 
de l'ANSSI dessus, ils sont plutôt sur de l'IPSEC ancien,


Merci pour vos éclaircissements, et retours d'expérience si vous en avez.


Bonjour,

L'ANSSI n'a effectivement pas validé MacSec jusqu'à maintenant. Mais si 
vous avez un besoin opérationnel où IPsec n'est pas assez performant ET 
que vous réalisez une analyse du risque au périmètre cible, il n'y a pas 
de frein à l'usage de MacSec.


Si vous avez une obligation d'équipements certifiés/qualifiés, l'usage 
de la techno seule n'est donc pas suffisant. Il faut dans ce cas passer 
par du matériel certifié/qualifié et il n'y en a pas en France par 
l'ANSSI... Mais avec une équivalence avec le BSI Allemand [1] est 
possible et ils ont un équipement MacSec [2] de leur côté.


Bonne journée.


[1] 
https://www.ssi.gouv.fr/actualite/signature-dun-accord-de-reconnaissance-mutuelle-des-certificats-de-securite-entre-lanssi-et-le-bsi/
[2] 
https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Zulassung/Liste-zugelassener-Produkte/liste-zugelassener-produkte_node.html


--
Sylvain Leroy
Président Eternilab


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] MacSec sur le WAN et homologation l'ANSSI

2023-01-31 Thread vienuj vienuj 

Hello,


l'ANSSI n'a toujours pas validé MACSEC bien qu'il apparaisse dans 
certaines de ses docs. Je trouve cela dommage car en effet, lors de 
connexion point à point MACSEC est plus avantageux en terme de perf 
qu'IPSEC...mais que fait l'ANSSI??


A noter aussi que MACSEC n'est possible qu'à travers un L2VPN ou une 
connexion en direct attach (ou back to back), les adresses AMC étant 
authentifiées compliqué de mettre un équipements tiers au milieu.


Julien

Le 31/01/2023 à 11:30, Michael Bloumderg a écrit :

Bonjour à tous,

Sauriez-vous si l'ANSSI a validé la technologie MacSec sur du WAN  ?

Par exemple, Juniper/Nokia/Cisco/HP… le supportent :

image.pnghttps://www.juniper.net/documentation/us/en/software/junos/security-services/topics/topic-map/understanding_media_access_control_security_wan.html

C'est une technologie niveau 2 qui commence à être assez populaire et 
répandue, mais je ne trouve malheureusement pas de référence sur le 
site de l'ANSSI dessus, ils sont plutôt sur de l'IPSEC ancien,


Merci pour vos éclaircissements, et retours d'expérience si vous en avez.

Michael

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] MacSec sur le WAN et homologation l'ANSSI

2023-01-31 Thread Pierre Emeriaud 
> A noter aussi que MACSEC n'est possible qu'à travers un L2VPN ou une
> connexion en direct attach (ou back to back), les adresses AMC étant
> authentifiées compliqué de mettre un équipements tiers au milieu.

Attention si vous décidez d'utiliser macsec à travers un l2vpn fourni
par un opérateur tiers, s'il y a un quelconque équilibrage de charge
dans son réseau à travers de multiple liens (ecmp, lag, whatever), ce
qui est fort probable, il faut IMPÉRATIVEMENT paramétrer un
replay-window supérieur à zéro (valeur à déterminer), faute de quoi
vous constaterez de la perte de paquets, alors que l'opérateur qui
gère le l2vpn ne constatera absolument rien (et il aura raison).

J'ai passé pas mal de temps la première fois qu'on m'a remonté ce
"problème" pour démontrer à un client que tout allait bien de mon côté
avant de me rendre compte que c'était à cause de son anti-rejeu trop
strict que certains paquets étaient refusés par son catalyst...

Certaines plateformes ne l'activent pas par défaut[0] et ne
mentionnent même pas l'inconvénient d'une telle option, d'autres[1]
utilisent une valeur par défaut de 0 (!) mais précisent toutefois que
les réseaux métro sont sujets à un ré-ordonnancement des paquets,
enfin certaines[2] ont un anti-rejeu activé et non-nul (64) avec une
note bien explicite concernant les réseaux d'opérateurs qui sont
"hautement susceptibles de réordonner les paquets".

FWIW, la norme IEEE 802.1AE-2018 (accessible avec un compte gratuit,
vous avez du bol) définit le replayWindow entre 0 et 2^32-1 avec une
valeur par défaut de 0... Attention donc !

[0] 
https://www.juniper.net/documentation/us/en/software/junos/security-services/topics/task/macsec-configuring-advanced.html#replay-protection
[1] 
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/16-9/configuration_guide/sec/b_169_sec_9300_cg/macsec_encryption.html#concept_qxd_jy1_44b
[2] 
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/macsec/configuration/xe-3s/macsec-xe-3s-book.html#concept_12C40FCBE097497089C0C7429576A422


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] MacSec sur le WAN et homologation l'ANSSI

2023-02-06 Thread Sylvain Leroy via frnog 

Le 31/01/2023 à 11:30, Michael Bloumderg a écrit :

Bonjour à tous,

Sauriez-vous si l'ANSSI a validé la technologie MacSec sur du WAN  ?

Par exemple, Juniper/Nokia/Cisco/HP… le supportent :

image.pnghttps://www.juniper.net/documentation/us/en/software/junos/security-services/topics/topic-map/understanding_media_access_control_security_wan.html
 


C'est une technologie niveau 2 qui commence à être assez populaire et 
répandue, mais je ne trouve malheureusement pas de référence sur le site 
de l'ANSSI dessus, ils sont plutôt sur de l'IPSEC ancien,


Merci pour vos éclaircissements, et retours d'expérience si vous en avez.


Bonjour,

L'ANSSI n'a effectivement pas validé MacSec jusqu'à maintenant. Mais si 
vous avez un besoin opérationnel où IPsec n'est pas assez performant ET 
que vous réalisez une analyse du risque au périmètre cible, il n'y a pas 
de frein à l'usage de MacSec.


Si vous avez une obligation d'équipements certifiés/qualifiés, l'usage 
de la techno seule n'est donc pas suffisant. Il faut dans ce cas passer 
par du matériel certifié/qualifié et il n'y en a pas en France par 
l'ANSSI... Mais avec une équivalence avec le BSI Allemand [1] est 
possible et ils ont un équipement MacSec [2] de leur côté.


Bonne journée.


[1] 
https://www.ssi.gouv.fr/actualite/signature-dun-accord-de-reconnaissance-mutuelle-des-certificats-de-securite-entre-lanssi-et-le-bsi/
[2] 
https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Zulassung/Liste-zugelassener-Produkte/liste-zugelassener-produkte_node.html


--
Sylvain Leroy
Président Eternilab


---
Liste de diffusion du FRnOG
http://www.frnog.org/