Utilisation d'openflow et des modules Split Data Plane de DELL pour traiter le DUID-MAC-spoofing des requêtes DHCPv6



Documents pareils
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Protocole de configuration dynamique des hôtes pour IPv6 (DHCPv6)

Plan. Programmation Internet Cours 3. Organismes de standardisation

Le Multicast. A Guyancourt le

DIFF AVANCÉE. Samy.

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

L3 informatique Réseaux : Configuration d une interface réseau

Informatique Générale Les réseaux

Ingénierie des réseaux

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Les cinq raisons majeures pour déployer SDN (Software-Defined Networks) et NFV (Network Functions Virtualization)

Plan de cette matinée

Pare-feu VPN sans fil N Cisco RV120W

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Spécialiste Systèmes et Réseaux

Sécurité des réseaux Firewalls

Fax sur IP. Panorama

Businesshighlight. Conseiller. n /... Agilité Réseau : de la lumière au bout du tunnel! sommaire

Introduction. Adresses

Adresse directe fichier : Adresse url spécifique sur laquelle le lien hypertext du Client doit être

Réseaux IUP2 / 2005 IPv6

Services Réseaux - Couche Application. TODARO Cédric

VLAN Virtual LAN. Introduction. II) Le VLAN. 2.1) Les VLAN de niveau 1 (Port-based VLAN)

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Administration Avancée de Réseaux d Entreprises (A2RE)

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Compte-rendu du TP n o 2

FORMATION WS0803 CONFIGURATION ET DEPANNAGE DE L'INFRASTRUCTURE RESEAU WINDOWS SERVER 2008

OmniVista 2700 Application complémentaires pour l OmniVista 2500 Network Management

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Présentation du modèle OSI(Open Systems Interconnection)

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Grid 5000 : Administration d une infrastructure distribuée et développement d outils de déploiement et d isolation réseau

La solution de GTB complète avec BACnet. La compétence reconnue de SAUTER.

Spécifications de raccordement au service de Téléphonie sur IP (ToIP) de RENATER

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Le service IPv4 multicast pour les sites RAP

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

Introduction aux Technologies de l Internet

Protocoles réseaux. Abréviation de Binary Digit. C'est la plus petite unité d'information (0, 1).

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Chapitre 11 : Le Multicast sur IP

Les réseaux de campus. F. Nolot

L'ensemble de ces tendances présente de nouveaux challenges pour les départements IT de l'entreprise. Plus précisément :

Chapitre 7. Le Protocole SNMP 7.1 INTRODUCTION COMPOSANTES POUR L UTILISATION FONCTIONNEMENT LE PAQUET SNMPV1...

Mise en place d un service de voix sur IP

Architectures en couches pour applications web Rappel : Architecture en couches

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

pfsense Manuel d Installation et d Utilisation du Logiciel

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Haka : un langage orienté réseaux et sécurité

Figure 1a. Réseau intranet avec pare feu et NAT.

Routeur VPN Wireless-N Cisco RV215W

UCOPIA EXPRESS SOLUTION

DESCRIPTION DU CONCOURS QUÉBÉCOIS INFORMATIQUE (GESTION DE RÉSEAUX)

Téléphone IP. Téléphone IP aux nombreuses fonctions avancées pour une utilisation professionnelle et au prix abordable FICHE PRODUIT

MISE EN PLACE DU FIREWALL SHOREWALL

Sécurité des réseaux sans fil

Configuration automatique

Chap.9: SNMP: Simple Network Management Protocol

Présentation et portée du cours : CCNA Exploration v4.0

Téléphone IP SPA942 à quatre lignes avec commutateur deux ports de Cisco. Téléphones IP de Cisco pour petites entreprises

Administration de Réseaux d Entreprises

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

! 1 /! 5 TD - MIP + RO - NEMO. 1. Mobile IP (MIPv6) avec optimisation de routage

Cahier des charges. driver WIFI pour chipset Ralink RT2571W. sur hardware ARM7

Introduction. Multi Média sur les Réseaux MMIP. Ver

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

Cisco Certified Network Associate

Configuration de l adressage IP sur le réseau local LAN

Réseau - VirtualBox. Sommaire

Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS

Algorithmique et langages du Web

Windows 2000: W2K: Architecture. Introduction. W2K: amélioration du noyau. Gamme windows W2K pro: configuration.

Chapitre 2 Rôles et fonctionnalités

La gestion du poste de travail en 2011 : Panorama des technologies

Licence professionnelle Réseaux et Sécurité Projets tutorés

Copyright Eurice Diffusion interdite

RÉSUMÉ DESCRIPTIF DE LA CERTIFICATION (FICHE RÉPERTOIRE)

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Licence Pro ASUR Supervision Mai 2013

Mettre en oeuvre Cisco Data Center Unified Fabric

Présentation et portée du cours : CCNA Exploration v4.0

II- Préparation du serveur et installation d OpenVpn :

ECTS CM TD TP. 1er semestre (S3)

Problème physique. CH5 Administration centralisée

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Teste et mesure vos réseaux et vos applicatifs en toute indépendance

Cisco Certified Network Associate Version 4

Symantec Network Access Control

Programme formation pfsense Mars 2011 Cript Bretagne

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Transcription:

Utilisation d'openflow et des modules Split Data Plane de DELL pour traiter le DUID-MAC-spoofing des requêtes DHCPv6 Marc Bruyère Laboratoire d Analyse et d Architecture des Systèmes / CNRS UPR8001 Complexe Scientifique de Rangueil 7, avenue du Colonel Roche 31400 Toulouse David Delavennat Centre de Mathématiques Laurent Schwartz / CNRS UMR7640 Bâtiment 6, Ecole Polytechnique 91128 Palaiseau Résumé IPv6 a longtemps été associé à un mécanisme d auto-configuration sans-état (Router Advertisements). La mise à disposition tardive d une implémentation de protocole d attribution d adresses IPv6, avec-état, par l ISC, a été un frein à son déploiement sur un parc de postes clients «administrés». Cependant, l arrivée du protocole DHCPv6 ne se fait pas sans soulever de nouvelles difficultés opérationnelles. Dans les environnements à double pile IP, le fait que DHCPv4 et DHCPv6 n utilisent pas les mêmes attributs pour identifier les objets IP ( MAC dans le premier cas, DUID dans le second ), complique la tâches des ASR (plusieurs variantes de DUID coexistent) et rend problématique la corrélation des adressages au sein des journaux d activités réseaux. Une implantation de serveur DHCPv6 est disponible, autorisant le référencement d objets IP par leurs adresses MAC, i.e. ne tenant pas compte de l attribut DUID. Nous souhaitons toutefois pouvoir utiliser notre infrastructure DHCPv6 ISC préexistante, qui, elle, ne supporte que les attributs DUID, tout en référençant nos postes clients par leurs adresses MAC, peu importe la version du protocole DHCP. Cette contrainte peut être résolue en utilisant un mécanisme embarqué au sein des modules Split Data Plane des commutateurs DELL SDN de nouvelle génération. Ces modules embarquent des applicatifs métiers au sein des commutateurs afin de réaliser des opérations au plus près du réseau.. Mots-clefs IPv6, DHCPv6, DUID, MAC, Network-Processor, NetFPGA, Software Defined Network JRES 2013 - Montpellier 1/8

1 Introduction Début 2012, la question s est posée de déployer IPv6 sur le parc informatique du Centre de Mathématiques Laurent Schwartz de l Ecole Polytechnique. DHCPv6 s est imposé face à l auto-configuration IPv6 afin de garder la maitrise des adresses IP distribuées. Très vite, il est apparu que la conception du protocole était incompatible avec l usage opérationnel satisfaisant, qu il était souhaitable de transposer de DHCPv4 à DHCPv6. Afin de trouver une solution, une maquette de sniffer L2-L3 a été réalisée capable de traiter le spoofing du DUID-client des requêtes DHCPv6. Une fois le modèle validé, des contacts ont été pris avec plusieurs constructeurs de matériel réseau dans le but d implémenter cette fonctionnalité dans les matériels d extrémité. Ils sont en effet les plus à même de voir passer l adresse MAC des interfaces réseaux émettrices des requêtes. DELL a répondu favorablement en proposant de traiter ce besoin sur leurs commutateurs SDN de nouvelle génération. 2 Présentation générale 2.1 DHCPv6 Le protocole DHCPv6 défini un attribut DUID (DHCP Unique Identifier) pour identifier clients et serveurs. Cet attribut doit être vu de manière opaque ; sa valeur seule intervenant lors de tests de comparaison. La RFC3315 (Juillet 2003) définie trois sortes de DUID (DUID-LLT, DUID-EN et DUID-LL), tout en spécifiant que de nouveaux types peuvent voir le jour dans le futur. C est le cas avec la RFC6355 (Aout 2011) qui introduit le DUID- UUID. 2.1.1 DUID-LLT 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 1 hardware type ( 16 bits ) time ( 32 bits ) link-layer address ( variable length) Contrairement à ce que l on pourrait penser, par analogie avec le protocole DHCPv4, le champ «link-layer address» ne contient pas l adresse MAC de l interface réseau émettrice de la requête. C est celle de l une, arbitraire, des interfaces réseau, connectée au client DHCP à l installation du poste client ( lors de la génération du DUID ). Le même DUID- LLT est utilisé pour configurer l ensemble des interfaces réseau. La stabilité du DUID-LLT (si l on fait abstraction de la réinstallation des machines) impose un stockage local au client DHCPv6 et n est donc pas adapté au boot en réseau. 2.1.2 DUID-EN 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 JRES 2013 - Montpellier 2/8

2 enterprise-number enterprise-number ( contd ) identifier ( variable length ) Le DUID-EN est constitué d un préfixe PEN (Private Enterprise Number) constructeur enregistré auprès de l IANA suivi d un identifiant unique assigné par ce même constructeur selon une règle qui lui est propre. Le DUID-EN devrait être enregistré sur un support local au client et non effaçable. 2.1.3 DUID-LL 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 3 hardware type (16 bits) link-layer address ( variable length ) Le DUID-LL se distingue du DUID-LLT par le fait que le champ «link-layer address» contient l adresse MAC de l une, arbitraire, des interfaces réseaux connectée de manière permanente au client DHCP. 2.1.4 DUID-UUID 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 4 UUID ( 128 bits ) Avec le temps, est apparu le fait que les trois DUID précédant n étaient pas stables vis-à-vis d un matériel donné. Le DUID-UUID a donc été défini en précisant que l UUID choisi doit être : 1. accessible aux firmwares de démarrage réseau 2. persistant tout au long des phases de redémarrage et de configuration d un boot réseau. Dans tous les cas, le choix du DUID utilisé par le client DHCPv6 lui incombe, mais nous ne souhaitons pas, ou ne pouvons pas intervenir sur les postes clients. JRES 2013 - Montpellier 3/8

2.2 Solutions possibles Une première solution à notre problème consiste à forcer dynamiquement la valeur du DUID d origine, quel qu il soit, par un DUID-UUID ou l UUID n est ni plus ni moins que la MAC de l interface réseau émettrice de la requête. Cela demande de maintenir une base de correspondance DUID-MAC au sein du commutateur. En contrepartie cette solution est compatible avec des serveurs DHCPv6 extrêmement simple. La seconde solution ne demande pas de maintenir une base de correspondance DUID-MAC au sein du commutateur, Elle consiste à associer dynamiquement le DUID contenu dans les messages DHCPv6 émis par le client à l adresse MAC de l interface réseau émettrice qui aura été renseignée au préalable dans l annuaire LDAP sur lequel le serveur DHCPv6 va s appuyer. JRES 2013 - Montpellier 4/8

2.3 Le Software Defined Network Les architectures traditionnelles des réseaux informatiques ne sont adaptées ni pour répondre aux exigences des entreprises d aujourd hui ni à celles des utilisateurs finaux qui demandent toujours plus de facilités pour accéder à de nouveaux services. Le Software Defined Network (SDN) apporte une solution aux opérateurs en changeant le paradigme d architecture réseaux. Dans l'architecture SDN, les plans de contrôle et de données sont découplés. L'intelligence réseau est logiquement centralisée et l'infrastructure réseau de contrôle est virtualisable. Ce changement de paradigme a pour conséquence de pouvoir disposer d un réseau programmable, sans précédent, reposant sur un matériel ouvert et indépendant. L' Open Networking Foundation est un consortium industriel à but non lucratif de plus de 100 membres qui mène le travail de développement du SDN et la standardisation des éléments essentiels de son architecture avec principalement le protocole OpenFlow. Celui-ci permet la communication entre les plans de contrôle centralisés et celui de données, des commutateurs réseau. Il est le premier standard conçu spécifiquement pour SDN, offrant une haute performance et un contrôle du trafic granulaire ainsi qu une indépendance vis-à-vis des fournisseurs de commutateurs réseau. Actuellement en cours de déploiement dans des centres de données ou sur des réseaux de campus, SDN offre au travers de contrôleurs centralisés OpenFlow, des avantages substantiels. - L indépendance : gestion et contrôle de commutateurs réseaux indépendants du fabriquant. - L'automatisation : à l'aide d'interface de Programmation (API) communes, permettant de faire abstraction des spécificités des couches réseaux inférieures et de l'orchestration des systèmes et des applications d'approvisionnement de services. - La réactivité : capacité d'offrir de nouveaux services et fonctionnalités réseaux sans avoir besoin de configurer les périphériques individuellement, ou d attendre que le ou les fabricants des commutateurs les développent. - La fiabilité et la sécurité du réseau : politique de gestion centralisée, uniforme et automatisée des périphériques réseaux entrainant moins d'erreurs de configuration. - Le service : application de politiques de services lors de la session de l'utilisateur, en fonction de ses périphériques et du niveau de ses demandes - L expérience utilisateur : les applications utilisateurs communiquent avec les applications réseaux. SDN propose une architecture réseau dynamique et flexible qui protège les investissements et favorise l innovation. Les réseaux qui étaient statiques peuvent évoluer vers une plate-forme de prestation de services extensible, capable de répondre rapidement à la demande d'évolution de l'utilisateur final. 2.4 Le protocole OpenFlow - Comment fonctionne OpenFlow? Dans un routeur ou un commutateur classique, la transmission de paquets (plan de données) et les décisions de routage (plan de contrôle) sont exécutées sur le même dispositif. Un commutateur OpenFlow sépare ces deux fonctions. Le plan de données réside encore sur le commutateur, tandis que les décisions de routage de haut niveau sont déplacées vers un dispositif de commande séparé, généralement un serveur standard «le contrôleur OpenFlow». Le commutateur et son contrôleur communiquent via le protocole OpenFlow, qui définit les messages de contrôle, tels que des paquets reçus, le paquet à commuter, la modification de la table de commutation, et l obtention des statistiques du commutateur. Le plan de données d'un commutateur OpenFlow présente une table d abstraction de flux (ou flow table); chaque entrée du tableau de flux contient un ensemble de champs des paquet et une action (par exemple, commuter ces paquets, sans modification des champ, ou drop). Quand un commutateur OpenFlow reçoit un paquet qu il n'a jamais vu avant, pour lequel il n'a aucune entrée équivalente dans la table des flux, il envoie ce paquet au contrôleur. Le contrôleur prend alors une décision sur la façon de traiter ce paquet, suppression ou ajout d une entrée dans la table de flux, et sur la façon de transmettre les paquets similaires à l avenir. JRES 2013 - Montpellier 5/8

2.5 Dell Switch Split-Data-Plane Pour pousser plus loin les fonctionnalités matériels des commutateurs Ethernet, DELL Research a mis au point une nouvelle architecture ayant un second plan de données pour faciliter le développement de projets innovants. Cette architecture permet, en utilisant un Processeur Réseau (Network Processor Unit), de supporter de multiples extensions et traitements des flux contrôlés par OpenFlow (Chiffrement, compression, accélération TCP, etc) Il est possible d aller au dela de l architecture OpenFlow SDN et de développer en C/C++ ou en Python directement sur le NPU. L'architecture Split-Data-Plane (SDP) tire parti d un constat simple. Sur de nombreux scénarios de déploiement, la grande majorité du trafic ne nécessite pas de traitement et peut être gérés par des commutateurs avec un processeur de commutation sans extension. Les micro-flux nécessitant un traitement peuvent être traitées par un second plan de données, programmable via logiciel. 2.5.1 Architecture matérielle DELL a fait le choix du processeur réseau Octeon CN5230. Celui-ci possède 4 cœurs MIPS 64 cadencés à 750MHz avec des sections d accélération matérielle spécialisées pour le traitement des flux TCP, l encryptions des données et la qualité de service. Le CN5230 est capable de traiter jusqu'à 6 milliards d instructions par seconde, ce qui permet de traiter jusqu'à 4 Gbps de trafic bidirectionnel. Le NPU fait tourner un noyau Linux Debian 2.6 et un dépôt de packages est maintenu par Cavium.. Le langage de développement principal est le C, Dell fournissant un Advanced Framework avec plusieurs exemples et un outil qui permet d envoyer les applications directement sur le network processor pour exécutions. JRES 2013 - Montpellier 6/8

2.5.2 SDK et Framework Le SDK de base est fourni par Cavium. C est grâce à lui qu il est possible de cross-compiler les programmes en C pour le NPU MIPS sur un PC x86. La distribution supportée par Cavium pour la compilation est une Fedora 16. Le SDK contient un ensemble d'exemples d applications comme le cryptage, la compression et un Proxy ICMP. L'un des objectifs est de fournir aux nouveaux développeurs un point de référence pour la création de leurs nouvelles applications. L ensemble des sources et du framework est accesible à partir de l URL : http://www.xflowresearch.com/dellsdp JRES 2013 - Montpellier 7/8

2.5.3 Policy Based Routing - Le Split-Data-Plane est reconnu comme une interface 10G, interne au commutateur. Le trafic n est pas commuté naturellement vers cette interface. Pour que les flux lui soient dirigés depuis le commutateur il faut appliquer des règles de Policy-Based-Routing fondées sur des Access Lists qui permettent de choisir plus finement quels paquets seront redirigés vers le SDP. 3 Conclusion Le portage du code de spoofing DHCPv6 est actuellement en cours au sein du Split-Data-Plane. A la vue des possibilités qu il apporte, il ne fait aucun doute que cette architecture offre des perspectives extrêmement intéressantes et dont les administrateurs réseau n ont pu que rêver pendant de longues années. Le SDP ne se limite pas uniquement aux applications SDN; il est possible de programmer des applications réseaux spécifiques, qui seront supportées entièrement par le commutateur. Cela ouvre la porte à une nouvelle dimension dans le domaine du réseau. JRES 2013 - Montpellier 8/8

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back