Security Capability discovery protocol Over Unsecured IP-based Topologies

Documents pareils
TP2 - Conguration réseau et commandes utiles. 1 Généralités. 2 Conguration de la machine. 2.1 Commande hostname

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

Bibliographie. Gestion des risques

Sécurité des réseaux IPSec

Laboratoire de Haute Sécurité. Télescope réseau et sécurité des réseaux

Pare-feu VPN sans fil N Cisco RV120W

Rappels réseaux TCP/IP

Découverte de réseaux IPv6

Domain Name System Extensions Sécurité

Figure 1a. Réseau intranet avec pare feu et NAT.

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Guide d installation

Détection d'intrusions et analyse forensique

Technique de défense dans un réseau

Sécurité des réseaux sans fil

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Sécurité des réseaux Les attaques

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

ETI/Domo. Français. ETI-Domo Config FR

Les réseaux ad hoc : problèmes de sécurité et solutions potentielles

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Sécuristation du Cloud

Protocoles réseaux. Abréviation de Binary Digit. C'est la plus petite unité d'information (0, 1).

Dossier de réalisation d'un serveur DHCP et d'un Agent-Relais SOMMAIRE. I. Principe de fonctionnement du DHCP et d'un Agent-Relais

Proxy et reverse proxy. Serveurs mandataires et relais inverses

7.1.2 Normes des réseaux locaux sans fil

Sécurité des systèmes informatiques Introduction

Cisco Certified Network Associate

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Fiche Technique. Cisco Security Agent

GESTION DES INCIDENTS DE SÉCURITÉ DE L INFORMATION

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Sécurité des réseaux wifi. CREIX Kevin GIOVARESCO Julien

Antoine VARET le 01/10/2013

Migration dynamique d applications réparties virtualisées dans les fédérations d infrastructures distribuées

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

1.Introduction - Modèle en couches - OSI TCP/IP

Arkoon Security Appliances Fast 360

Adresse directe fichier : Adresse url spécifique sur laquelle le lien hypertext du Client doit être

NetCrunch 6. Superviser

Présenté par : Ould Mohamed Lamine Ousmane Diouf

TCP/IP, NAT/PAT et Firewall

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Multicast & IGMP Snooping

PACK SKeeper Multi = 1 SKeeper et des SKubes

Chap.9: SNMP: Simple Network Management Protocol

Infocus < >

Présentation d'un MOM open-source

ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

RESEAUX MISE EN ŒUVRE

NOTIONS DE RESEAUX INFORMATIQUES

Sécurité des réseaux Firewalls

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

Routeur VPN Wireless-N Cisco RV215W

Les rootkits navigateurs

Initiation à la sécurité

Détection d'intrusions en environnement haute performance

Plan du Travail. 2014/2015 Cours TIC - 1ère année MI 30

NAS 224 Accès distant - Configuration manuelle

Master d'informatique. Réseaux. Supervision réseaux

Présentation et portée du cours : CCNA Exploration v4.0

Pare-feu VPN sans fil N Cisco RV110W

Administration Réseau sous Ubuntu SERVER Serveur DHCP

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

Contributions à l expérimentation sur les systèmes distribués de grande taille

Windows sur Kimsufi avec ESXi

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Analyse de la bande passante

Sécurité et Firewall

Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS

Point sur la virtualisation

Sécurité des applications Retour d'expérience

TAI049 Utiliser la virtualisation en assistance et en dépannage informatique TABLE DES MATIERES

Le Tunneling DNS. P.Bienaimé X.Delot P.Mazon K.Tagourti A.Yahi A.Zerrouki. Université de Rouen - M2SSI. 24 février 2011

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Plan. Programmation Internet Cours 3. Organismes de standardisation

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Le Multicast. A Guyancourt le

Concept Compumatica Secure Mobile

Université de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin

Installation d un serveur DHCP sous Gnu/Linux

Configuration d'un serveur DHCP Windows 2000 pour Cisco CallManager

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

ELP 304 : Électronique Numérique. Cours 1 Introduction

VMWARE VSPHERE ESXI INSTALLATION

Présentation du modèle OSI(Open Systems Interconnection)

Configuration de Serveur 2003 en Routeur

AGENT LÉGER OU SANS AGENT. Guide des fonctionnalités Kaspersky Security for Virtualization

Télécommunications. IPv4. IPv4 classes. IPv4 réseau locaux. IV - IPv4&6, ARP, DHCP, DNS

Haka : un langage orienté réseaux et sécurité

Transcription:

Security Capability discovery protocol Over Unsecured IP-based Topologies (Le protocole SCOUT) Antoine Varet et Nicolas Larrieu avaret@recherche.enac.fr Groupe ResCo, laboratoire TELECOM, Ecole Nationale de l'aviation Civile, Toulouse 7ème Conférence sur la Sécurité des Architectures Réseaux et Systèmes d'information Varet, Larrieu SCOUT 1 / 23

Pourquoi un protocole? Motivations Quelques raisons Le besoin de sécurité est de plus en plus présent La lourdeur de la conguration est un frein La sécurité niveau 3 (couche réseau): généralement statique, peu de solutions dynamiques Sécurité par le(s) routeur(s) d'extrémité(s) et non plus seulement par les hôtes Varet, Larrieu SCOUT 2 / 23

Ce que SCOUT ne fait pas Motivations Le protocole SCOUT ne fait pas l'établissement du canal sécurisé ne sécurise pas les données utilisateur SCOUT appelle pour cela un protocole adéquat Varet, Larrieu SCOUT 3 / 23

Ce que SCOUT fait Introduction Motivations SCOUT essaye d'établir des canaux sécurisés pour les données, en fonction des capacités de sécurisation des noeuds du réseau qu'il découvre Varet, Larrieu SCOUT 4 / 23

Plan de cette présentation Motivations 1 Introduction Motivations 2 Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 3 Varet, Larrieu SCOUT 5 / 23

Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 Les 4 modes de fonctionnement de SCOUT La sécurité dépend de la prise en charge de SCOUT sur les noeuds SCOUT mode H1-R1 R1-R2 R2-H2 Host-Host Host-Router Router-Host Router-Router La section R1-R2 est sécurisée dans les 4 modes Varet, Larrieu SCOUT 6 / 23

Algorithme de SCOUT Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 Varet, Larrieu SCOUT 7 / 23

Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 Mise en oeuvre avec IPv6 : le protocole SCOUT6 Le protocole SCOUT Protocole générique spéciant les échanges et le principe général de fonctionnement de la découverte Le protocole SCOUT6 Instanciation de SCOUT avec les fonctionnalités introduites par le protocole IPv6 Varet, Larrieu SCOUT 8 / 23

La requête initiale DOq Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 N DOq 196: non assigné par l'iana Destination Option query Comportement par défaut du noeud: retourner un message ICMP Parameter Problem Varet, Larrieu SCOUT 9 / 23

La réponse DOr Introduction Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 N DOr 66: non assigné par l'iana Destination Option response Comportement par défaut du noeud: ignorer Masque binaire des protocoles supportés: [(experimental) 0... 0 (KINK) (IKEv2) (IKEv1) ]/32 Varet, Larrieu SCOUT 10 / 23

La requête routeur RAq Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 N RAq 42: non assigné par l'iana Router Alert query les routeurs faisant suivre le paquet traitent l'option si elles savent le traiter, l'ignorent sinon Varet, Larrieu SCOUT 11 / 23

SCOUT6 en mode Host-host Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 Varet, Larrieu SCOUT 12 / 23

SCOUT6 en mode Routeur-Routeur Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 Varet, Larrieu SCOUT 13 / 23

Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 Contexte à 4 Fournisseurs d'accès Internet 4 VM (VirtualBox): RAM 256 Mo, CPU 1.6GHz, Debian Squezze avec Trac Control/netem Mesures eectuées le 6 décembre 2011 à 11h00 Varet, Larrieu SCOUT 14 / 23

Mesure des délais ajoutés Principes généraux de SCOUT SCOUT avec IPv6 : SCOUT6 Mise en pratique Evaluation de performances avec SCOUT6 Rapidité de la découverte délai de traitement SCOUT << délai de transport Auto-conguration (pas de tunnel statiquement préconguré) Varet, Larrieu SCOUT 15 / 23

L'injection de paquets Que se passe-t-il quand un attaquant injecte des paquets SCOUT6 DOq RAq DOr noeud SCOUT DOr DOr ignoré noeud non SCOUT ICMPparamprob ignoré ignoré Donc pas de menace Varet, Larrieu SCOUT 16 / 23

Le rejeu des paquets SCOUT6 Le rejeu n'est pas problématique: il est nativement implémenté pour contrer les pertes Pas de menace Varet, Larrieu SCOUT 17 / 23

L'homme du milieu altérant les paquets SCOUT n'assure pas l'authentication de la destination: c'est le protocole d'établissement qui s'en charge Menace sans conséquence Un attaquant pouvant empêcher les paquets SCOUT6 peut empêcher les paquets IKEv2 (=> empêcher l'établissement) Voler les paquets DOq et laisser passer les RAq pose un problème quand le réseau local d'extrémité est vulnérable! Varet, Larrieu SCOUT 18 / 23

Usurpation d'adresse Introduction L'usurpation entraîne la perte des paquets (non-acheminement) Menace sans conséquence Varet, Larrieu SCOUT 19 / 23

Deni de service Introduction DoS avec un noeud non-scout Les paquets reçus sont ignorés ou entraînent l'émission de ICMP Parameter Problem (indépendant de SCOUT). DoS avec un noeud SCOUT On peut forcer le noeud à cracher des DOr Le DOq/RAq est petit (48 octets) et le DOr aussi (64 octets), donc dicile de ooder les routeurs actuels Le traitement sur l'hôte est rapide Un gros paquet IPv6 bien formé est bien plus ecace, mais c'est mon avis personnel... ;) Varet, Larrieu SCOUT 20 / 23

Conclusions Le protocole SCOUT détecte automatiquement les possibilités de sécurisation L'absence de sécurisation sur le noeud nal peut être compensé par une sécurisation avec le routeur nal Idem pour le noeud initial La conguration est plus légère qu'avec des tunnels statiques La surcharge réseau et le délai ajouté sont faibles Varet, Larrieu SCOUT 21 / 23

Perspectives Validation en profondeur de SCOUT et SCOUT6 Support de plus de protocoles d'établissement de canaux sécurisés Varet, Larrieu SCOUT 22 / 23

Merci pour votre attention @ de l'implémentation de référence : http://www.recherche.enac.fr/leopart/~avaret/scout6/ @ mail pour me contacter : avaret@recherche.enac.fr Varet, Larrieu SCOUT 23 / 23

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back