Security Capability discovery protocol Over Unsecured IP-based Topologies (Le protocole SCOUT) Antoine Varet et Nicolas Larrieu avaret@recherche.enac.fr Groupe ResCo, laboratoire TELECOM, Ecole Nationale de l'aviation Civile, Toulouse 7ème Conférence sur la Sécurité des Architectures Réseaux et Systèmes d'information Varet, Larrieu SCOUT 1 / 23
Pourquoi un protocole? Motivations Quelques raisons Le besoin de sécurité est de plus en plus présent La lourdeur de la conguration est un frein La sécurité niveau 3 (couche réseau): généralement statique, peu de solutions dynamiques Sécurité par le(s) routeur(s) d'extrémité(s) et non plus seulement par les hôtes Varet, Larrieu SCOUT 2 / 23
Ce que SCOUT ne fait pas Motivations Le protocole SCOUT ne fait pas l'établissement du canal sécurisé ne sécurise pas les données utilisateur SCOUT appelle pour cela un protocole adéquat Varet, Larrieu SCOUT 3 / 23
Ce que SCOUT fait Introduction Motivations SCOUT essaye d'établir des canaux sécurisés pour les données, en fonction des capacités de sécurisation des noeuds du réseau qu'il découvre Varet, Larrieu SCOUT 4 / 23
Plan de cette présentation Motivations 1 Introduction Motivations 2 Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 3 Varet, Larrieu SCOUT 5 / 23
Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 Les 4 modes de fonctionnement de SCOUT La sécurité dépend de la prise en charge de SCOUT sur les noeuds SCOUT mode H1-R1 R1-R2 R2-H2 Host-Host Host-Router Router-Host Router-Router La section R1-R2 est sécurisée dans les 4 modes Varet, Larrieu SCOUT 6 / 23
Algorithme de SCOUT Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 Varet, Larrieu SCOUT 7 / 23
Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 Mise en oeuvre avec IPv6 : le protocole SCOUT6 Le protocole SCOUT Protocole générique spéciant les échanges et le principe général de fonctionnement de la découverte Le protocole SCOUT6 Instanciation de SCOUT avec les fonctionnalités introduites par le protocole IPv6 Varet, Larrieu SCOUT 8 / 23
La requête initiale DOq Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 N DOq 196: non assigné par l'iana Destination Option query Comportement par défaut du noeud: retourner un message ICMP Parameter Problem Varet, Larrieu SCOUT 9 / 23
La réponse DOr Introduction Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 N DOr 66: non assigné par l'iana Destination Option response Comportement par défaut du noeud: ignorer Masque binaire des protocoles supportés: [(experimental) 0... 0 (KINK) (IKEv2) (IKEv1) ]/32 Varet, Larrieu SCOUT 10 / 23
La requête routeur RAq Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 N RAq 42: non assigné par l'iana Router Alert query les routeurs faisant suivre le paquet traitent l'option si elles savent le traiter, l'ignorent sinon Varet, Larrieu SCOUT 11 / 23
SCOUT6 en mode Host-host Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 Varet, Larrieu SCOUT 12 / 23
SCOUT6 en mode Routeur-Routeur Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 Varet, Larrieu SCOUT 13 / 23
Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 Contexte à 4 Fournisseurs d'accès Internet 4 VM (VirtualBox): RAM 256 Mo, CPU 1.6GHz, Debian Squezze avec Trac Control/netem Mesures eectuées le 6 décembre 2011 à 11h00 Varet, Larrieu SCOUT 14 / 23
Mesure des délais ajoutés Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 Rapidité de la découverte délai de traitement SCOUT << délai de transport Auto-conguration (pas de tunnel statiquement préconguré) Varet, Larrieu SCOUT 15 / 23
L'injection de paquets Que se passe-t-il quand un attaquant injecte des paquets SCOUT6 DOq RAq DOr noeud SCOUT DOr DOr ignoré noeud non SCOUT ICMPparamprob ignoré ignoré Donc pas de menace Varet, Larrieu SCOUT 16 / 23
Le rejeu des paquets SCOUT6 Le rejeu n'est pas problématique: il est nativement implémenté pour contrer les pertes Pas de menace Varet, Larrieu SCOUT 17 / 23
L'homme du milieu altérant les paquets SCOUT n'assure pas l'authentication de la destination: c'est le protocole d'établissement qui s'en charge Menace sans conséquence Un attaquant pouvant empêcher les paquets SCOUT6 peut empêcher les paquets IKEv2 (=> empêcher l'établissement) Voler les paquets DOq et laisser passer les RAq pose un problème quand le réseau local d'extrémité est vulnérable! Varet, Larrieu SCOUT 18 / 23
Usurpation d'adresse Introduction L'usurpation entraîne la perte des paquets (non-acheminement) Menace sans conséquence Varet, Larrieu SCOUT 19 / 23
Deni de service Introduction DoS avec un noeud non-scout Les paquets reçus sont ignorés ou entraînent l'émission de ICMP Parameter Problem (indépendant de SCOUT). DoS avec un noeud SCOUT On peut forcer le noeud à cracher des DOr Le DOq/RAq est petit (48 octets) et le DOr aussi (64 octets), donc dicile de ooder les routeurs actuels Le traitement sur l'hôte est rapide Un gros paquet IPv6 bien formé est bien plus ecace, mais c'est mon avis personnel... ;) Varet, Larrieu SCOUT 20 / 23
Conclusions Le protocole SCOUT détecte automatiquement les possibilités de sécurisation L'absence de sécurisation sur le noeud nal peut être compensé par une sécurisation avec le routeur nal Idem pour le noeud initial La conguration est plus légère qu'avec des tunnels statiques La surcharge réseau et le délai ajouté sont faibles Varet, Larrieu SCOUT 21 / 23
Perspectives Validation en profondeur de SCOUT et SCOUT6 Support de plus de protocoles d'établissement de canaux sécurisés Varet, Larrieu SCOUT 22 / 23
Merci pour votre attention @ de l'implémentation de référence : http://www.recherche.enac.fr/leopart/~avaret/scout6/ @ mail pour me contacter : avaret@recherche.enac.fr Varet, Larrieu SCOUT 23 / 23