SlideShare una empresa de Scribd logo
1 de 57
Descargar para leer sin conexión
La sécurité des réseaux ATM


  Maryline Laurent-Maknavicius
      dép. RSM, Télécom Bretagne
              Avril 1998
Plan
La problématique
Les particularités des réseaux ATM
Les problèmes de sécurité des réseaux ATM
Les solutions de sécurité proposées :
– la négociation de services de sécurité (analyse des
  approches de l’ATM Forum, de Deng, de Chuang et de
  Télécom Bretagne)
– l’échange protégé de données (analyse des approches de
  l ’ATM Forum, de Télécom Bretagne)
Conclusion
Problématique


                             Le 20/11/97




                                              Je suis ...

Services de sécurité
  Ecoutes :               Service de confidentialité
  Brouillage :            Service d’intégrité
  Usurpation d’identité : Service d’authentification
  Rejeu de message:       Service de détection de rejeu
Les particularités des réseaux ATM
               (Asynchronous Transfer Mode)
            L'ATM est à commutation de cellules

Application
       données
 AAL                        segmentation

 ATM                               cellules ATM

 Physique
Les particularités des réseaux ATM
            L'ATM est à commutation de cellules


Application
       données
 AAL                                              AAL
 ATM                        ATM                   ATM
 Physique                 Physique                Physique


                         commutateur
                           ATM
Les particularités des réseaux ATM
                 L'ATM est orienté connexion

   Application                                 Application
Plan        Plan de
utilisateur contrôle
  AAL       AAL                                AAL    AAL
       ATM                                       ATM
     Physique                 ouverture          Physique
                                de
                             connexion
                               échange
                                 de
                              données
Les particularités des réseaux ATM
              L'ATM est orienté connexion

Application                                   Application
      Plan de                               Plan de
      contrôle                              contrôle
AAL    AAL                ouverture          AAL AAL
  ATM                   de connexion
                                                 ATM
 Physique                 SET UP                Physique

                       @ATM source
                       @ATM destination    IEs (Eléments
                       Application visée   d'information)
Les particularités des réseaux ATM
                 L'ATM est orienté connexion

   Application                                 Application
Plan        Plan de
utilisateur contrôle
  AAL       AAL                                AAL    AAL
       ATM                                       ATM
     Physique                                    Physique
                            SET UP
                            CONNECT
                             données
Les particularités des réseaux ATM
            Les cellules de gestion




                   Plan de gestion pour maintenir le
AAL   AAL          réseau opérationnel à l’aide de :
                   • cellules de gestion OAM
  ATM              (Operation And Maintenance)
 Physique
Les problèmes de sécurité des réseaux ATM


                                 messages de
                                 signalisation

                                  cellules de
                                  gestion
                                  données
                                  utilisateur
Les problèmes de sécurité des messages de
              signalisation

                                               messages de
                                               signalisation
                             SET UP

                          @ATM source
                          @ATM destination
                          Application visée


Attaques :                    Services de sécurité :
  écoutes                       confidentialité
  usurpation d'identité         authentification
Les problèmes de sécurité des cellules de
                gestion




                                         cellules de
                                         gestion




Attaques :            Services de sécurité :
  écoutes               confidentialité
  brouillage            intégrité
Les problèmes de sécurité des données
                utilisateur




                                         données
                                         utilisateur



Attaques :            Services de sécurité :
  écoutes               confidentialité
  brouillage            intégrité
Les problèmes de sécurité des données
             utilisateur

           ... le compte en Suisse de Mr ...




             ... 3 cuillères à soupe d'...




Nécessité de négocier des services de sécurité
 pour protéger les données utilisateur
Les besoins de sécurité des réseaux ATM


Nécessité de :
 négocier les services de sécurité utiles à
 la protection des données utilisateur
 protéger les données utilisateur
 protéger les messages de signalisation
La négociation de services de sécurité

3 approches suivant que la négociation du contexte
  de sécurité :
  fait partie intégrante de l’ouverture de connexion
  (ATM Forum, Deng, Chuang, Télécom Bretagne)
  fait l’objet d’une connexion spécifique (ATM
  Forum, Stevenson)
  s’effectue en continu en tant qu’informations de
  gestion (ATM Forum)
Les travaux de l’ATM Forum
ATM Forum : consortium international en charge
de la définition des spécifications ATM
Le contexte : protection des communications
entre terminaux, entre commutateurs ou entre
terminaux et commutateurs
Le contexte des travaux ATM Forum


       proxy                 proxy




                Protection des
               communications
La négociation des services dans
        l’ATM Forum
via les messages de signalisation
        (placement des informations de sécurité
        (clés de chiffrement, mécanismes de
        sécurité, authentificateur) dans des IEs


        SET UP
                                      IEs de sécurité

       CONNECT


           échange protégé de données
La négociation via les messages de
 signalisation dans l’ATM Forum

          proxy                    proxy




Dans la version des spécif. de l ’ATM Forum de sept.
97, 1 seul IE pour :
       négocier des services de sécurité
       protéger les messages de signalisation
Les services de sécurité offerts par
          l’ATM Forum
Pour les messages d’ouverture de connexion:
  la négociation de services de sécurité
  l’échange de clés de session
Pour tous les messages de signalisation :
  l’authentification de l’émetteur des messages
  l’intégrité d’une partie du message
  le contrôle d ’accès
  la détection du rejeu de message
Utilisation de protocoles de sécurité à 2 voire 3
échanges
Le format de l’IE de sécurité défini par
   l’ATM Forum (Spécif. Sept.97)
  SET UP                         Section d ’Association de
                                    sécurité
                                 @ATM source
 @ATM source              avec   @ATM destination
 @ATM destination
                                 proxy de sécurité cible
 Section d ’Association
   de Sécurité #1                scope
 Section d ’Association          étiquette de sécurité
   de Sécurité #2                négociation
 Section d ’Association          clés de session
   de Sécurité #3
La négociation des services dans
l’ATM Forum (Spécif. Sept.97)
dans le contenu même d'une connexion (données
utilisateur) : des données sont échangées sous
forme de cellules de données utilisateur

              ouverture de connexion
              échanges de données
           BLOCAGE DES ECHANGES
                  négociation
          DEBLOCAGE DES ECHANGES

          échanges protégés de données
La négociation des services dans
  l’ATM Forum (Spécif. Sept. 97)

Par le biais des informations de gestion
 (cellules de gestion OAM)
 Avantage : offre une parfaite
 synchronisation des informations de
 sécurité transmises avec le flot de données
 utilisateur
 Utilisation par l’ATM Forum limitée au
 renouvellement des clés de session en cours
 de connexion
La négociation via les cellules de
gestion dans l’ATM Forum(Spécif.
             Sept. 97)

2 étapes pour renouveler les clés :
 une cellule OAM d’envoi de la nouvelle clé de
 session (chiffrée)
 une cellule OAM d’activation du changement
 de clé de session avec envoi à intervalles de
 temps réguliers
La négociation via les cellules de
 gestion dans l’ATM Forum(Spécif.
              Sept. 97)

Activation du   Activation du          Envoi de la
 changement      changement             nouvelle clé
     de clé          de clé              de session


                                Sens d’émission
Les travaux de Télécom Bretagne
          le projet Démostène
 Partenaires : CNET et DGA
 But : permettre à des utilisateurs distants l’échange
 de données multimédia et le travail coopératif

                      Réseau ATM
           proxy                          proxy
                         public



Site ATM                                    Site ATM
La solution SAFE
    (Solution for an ATM Frequent communications
                      Environment)




           proxy                        proxy
                    Réseau public
                      Connexion
                      à protéger
Site ATM                                  Site ATM
La négociation des services dans SAFE
   via les messages de signalisation avec la définition
   d'un IE de sécurité




           proxy                             proxy


           1 IE de                      1 IE de
              sécurité                     sécurité
Les services de SAFE
L'IE de sécurité permet de :
  négocier des services de sécurité
  protéger les messages de signalisation
         authentification                SET UP
         intégrité
                                      @ATM source
         confidentialité              @ATM destination
                                     Application visée
                     chiffrement     Négociation
Les services de SAFE
L'IE de sécurité permet de :
  négocier des services de sécurité
  protéger les messages de signalisation
         authentification                SET UP
         intégrité
                                      @ATM source
         confidentialité              @ATM destination
         anonymat                     Application visée
                                      Négociation
Le service d’anonymat dans SAFE


       SET UP                                     SET UP
                            SET UP               @a
   @a                      @A
   @b                                            @b
                           @B
                           @a
                           @b
   a                                                   b

Site A                                                Site B
                secret du plan d'adressage préservé
L’échange de données protégé

3 approches selon que le service de confidentialité
  est placé (pour garantir le secret/la confidentialité
  des données) :
  dans la couche ATM (Stevenson, Chuang, ATM
  Forum)
  dans la couche AAL (Deng)
  au dessus de la couche AAL (Télécom Bretagne)
La confidentialité dans l’ATM
                  Forum
             (Spécif. Sept. 97)
Plan        Plan de
utilisateur contrôle
  AAL        AAL
                       Où placer le service
      ATM              de confidentialité ?
      Physique
La confidentialité dans l’ATM
                  Forum
             (Spécif. Sept. 97)
       Où placer le service de confidentialité ?
AAL         proxy                              AAL
                                    proxy
ATM         ATM                     ATM        ATM
Physique                                       Physique




       Comment définir une solution unique ?
La confidentialité dans l’ATM
                  Forum
             (Spécif. Sept. 97)
       Où placer le service de confidentialité ?
AAL         proxy                              AAL
                                    proxy
ATM         ATM                     ATM        ATM
Physique                                       Physique

                      ≤ ATM
La confidentialité dans l’ATM
                  Forum
             (Spécif. Sept. 97)
       Où placer le service de confidentialité ?
AAL         proxy                              AAL
                                    proxy
ATM         ATM                     ATM        ATM
Physique                                       Physique

                      ≥ ATM
La confidentialité dans l’ATM
                  Forum
             (Spécif. Sept. 97)
        Où placer le service de confidentialité ?
Plan        Plan de         au niveau de la couche ATM
utilisateur contrôle
  AAL        AAL
                                Chiffrement

         ATM

      Physique


   Chiffrement cellule par cellule (charge utile uniquement)
L’intégrité dans l’ATM Forum
             (Spécif. Sept. 97)

Plan        Plan de
utilisateur contrôle
  AAL        AAL       Où placer le service
                         d'intégrité ?
         ATM

      Physique
L’intégrité dans l’ATM Forum
             (Spécif. Sept. 97)
         Où placer le service d'intégrité ?
Plan        Plan de         Dans la couche ATM ?
utilisateur contrôle
  AAL        AAL
                                    Ajout d'un sceau
         ATM
                                         Resegmentation
      Physique
L’intégrité dans l’ATM Forum
             (Spécif. Sept. 97)
         Où placer le service d'intégrité ?
Plan        Plan de         Dans la couche AAL ?
utilisateur contrôle
            AAL                   Ajout d'un sceau
                                     Segmentation
         ATM

      Physique
Le modèle de l’ATM Forum
             (Spécif. Sept. 97)

Plan        Plan de
utilisateur contrôle
            AAL        service d'intégrité au
                       niveau de la couche AAL
         ATM           service de confidentialité au
                       niveau de la couche ATM
      Physique
Le modèle de l’ATM Forum
           (Spécif. Sept. 97)

                  Application

              Plan        Plan de
              utilisateur contrôle
                                     négociation de
protection
                                     services
des données     AAL        AAL
utilisateur                          protection de
                         ATM         la signalisation
                    Physique
La protection des données dans SAFE
                        échange protégé
                         de données

          services de                 services de
            sécurité                    sécurité
            négociés                    négociés


                          données
                          protégées            données
données
La protection des données dans SAFE

                       une couche dédiée à la sécurité
    Application        au dessus de la couche AAL

Plan        Plan de
utilisateur contrôle                  Ajout d'un sceau
  AAL         AAL
                           Chiffrement
        ATM
      Physique
Le modèle SAFE

                  Application

              Plan        Plan de
protection    utilisateur contrôle
                                     négociation de
des données
                                     services
utilisateur    AAL         AAL
                                     protection de
                     ATM             la signalisation
                    Physique
Conclusion

Les avantages de traiter la sécurité dans l’ATM
  au lieu des couches supérieures (IPv6, TLSP,
  etc.) :
  permet de réaliser des services de sécurité
  basés sur la connaissance des adresses ATM
  comme l ’authentification, le contrôle d ’accès
  et l ’anonymat
  fournit un système de protection commun à
  l ’ensemble des applications(applications
  natives)
Conclusion

utilisable par les opérateurs par exemple pour
contrôler l ’accès de leurs abonnés aux services
de télécommunication
bénéficie de vitesses de chiffrement élevées si
le service de confidentialité est implémenté
dans la couche ATM car les algorithmes de
chiffrement se trouvent implémentés dans le
hardware
Projets en cours sur la sécurité
             ATM
Projets en cours sur la sécurité
             ATM

Projet ACTS SCAN (Secure communicaions in
ATM Networks)
Projet en partenariat avec la DGA
Projet SCAN

Objectifs :
– construire un prototype d ’équipement de protection
  des communications sur les réseaux ATM
– basé sur les travaux de SAFE et de l ’ATM Forum
Services rendus

confidentialité des données (DES ou Triple DES à 155
Mb/s)
authentification
négociation de services de sécurité (algorithme de
chiffrement, échange de clés et de vecteur d ’initialisation)
renouvellement périodique des clés de session via les
cellules OAM
Caractéristiques

Négociation de services, authentification et
échange de clés via :
– la signalisation avec la définition d ’un nouvel IE de
  sécurité (issu des travaux de SAFE et ATM Forum)
– les cellules OAM (nouveau)
Le protocole d ’échanges de clés doit être
facilement interchangeable
Modèle obtenu           négociation du
                                      service de
                 Application          confidentialité
                                      renouvellement
                                      de clés

                    Plan de gestion
              Plan         Plan de
              utilisateur contrôle    négociation du
                                      service de
chiffrement    AAL        AAL
                                      confidentialité
des données             ATM           protection de
utilisateur
                                      la signalisation
                     Physique
Projet DGA
    Objectifs :
     – imaginer et mettre en œuvre des architectures de
       contrôle d ’accès pour protéger un réseau ATM



                      Réseau ATM
           proxy                            proxy
                         public



Site ATM                                      Site ATM
Projet DGA
Options possibles :
– définir un firewall ATM mais ceci peut être très
  pénalisant en termes de performances
– adapter à l ’ATM le NSP (Network Security Probe)
  développé à Télécom Bretagne pour Internet
Travail effectué :
– analyse des paramètres ATM intéressants à
  contrôler et obtention d ’une liste de
  recommandations de sécurité à observer par les
  constructeurs d ’équipements ATM
Projet DGA
Travail à réaliser :
– définir les politiques de sécurité qui peuvent être
  mises valablement en place sur un commutateur de
  raccordement
– introduire de nouveaux paramètres dans la MIB
  ATM pour améliorer le contrôle d ’accès

Más contenido relacionado

Destacado

Chap1 cellulaires esprit
Chap1 cellulaires espritChap1 cellulaires esprit
Chap1 cellulaires espritWissem Kriouene
 
Présentation Cdma, Multiplexage CDMA, principes de Code et cas d'exemple
Présentation Cdma, Multiplexage CDMA, principes de Code et cas d'exemplePrésentation Cdma, Multiplexage CDMA, principes de Code et cas d'exemple
Présentation Cdma, Multiplexage CDMA, principes de Code et cas d'exempleMax Benana
 
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...Manassé Achim kpaya
 
Asynchronous Transfer Mode ATM
Asynchronous Transfer Mode  ATMAsynchronous Transfer Mode  ATM
Asynchronous Transfer Mode ATMMadhumita Tamhane
 
2014 évacuation - tous établissements - 01
2014 évacuation - tous établissements - 012014 évacuation - tous établissements - 01
2014 évacuation - tous établissements - 01APS&I - Formations
 
Architecture Décentralisée
Architecture DécentraliséeArchitecture Décentralisée
Architecture Décentraliséeparigot
 
L'Apprentissage Collaboratif
L'Apprentissage CollaboratifL'Apprentissage Collaboratif
L'Apprentissage CollaboratifErradi Mohamed
 
Cours Génie Logiciel 2016
Cours Génie Logiciel 2016Cours Génie Logiciel 2016
Cours Génie Logiciel 2016Erradi Mohamed
 
Auris solutions-risque-si-2012
Auris solutions-risque-si-2012Auris solutions-risque-si-2012
Auris solutions-risque-si-2012Auris Solutions
 
Auris solutions : risques & piratages pour les PME / TPE
Auris solutions : risques & piratages pour les PME / TPEAuris solutions : risques & piratages pour les PME / TPE
Auris solutions : risques & piratages pour les PME / TPEAuris Solutions
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Deportes
DeportesDeportes
Deportesyei-96
 
Green IT - Invesstissements et philosophie d'entreprise
Green IT - Invesstissements et philosophie d'entrepriseGreen IT - Invesstissements et philosophie d'entreprise
Green IT - Invesstissements et philosophie d'entrepriseAastraBelgium
 
Communiqué de presse Babyphone Digital Green
Communiqué de presse Babyphone Digital GreenCommuniqué de presse Babyphone Digital Green
Communiqué de presse Babyphone Digital GreenRomu
 

Destacado (18)

Chap1 cellulaires esprit
Chap1 cellulaires espritChap1 cellulaires esprit
Chap1 cellulaires esprit
 
Présentation Cdma, Multiplexage CDMA, principes de Code et cas d'exemple
Présentation Cdma, Multiplexage CDMA, principes de Code et cas d'exemplePrésentation Cdma, Multiplexage CDMA, principes de Code et cas d'exemple
Présentation Cdma, Multiplexage CDMA, principes de Code et cas d'exemple
 
Vm ware
Vm wareVm ware
Vm ware
 
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
 
Asynchronous Transfer Mode ATM
Asynchronous Transfer Mode  ATMAsynchronous Transfer Mode  ATM
Asynchronous Transfer Mode ATM
 
2014 évacuation - tous établissements - 01
2014 évacuation - tous établissements - 012014 évacuation - tous établissements - 01
2014 évacuation - tous établissements - 01
 
Architecture Décentralisée
Architecture DécentraliséeArchitecture Décentralisée
Architecture Décentralisée
 
L'Apprentissage Collaboratif
L'Apprentissage CollaboratifL'Apprentissage Collaboratif
L'Apprentissage Collaboratif
 
Approche Mda
Approche MdaApproche Mda
Approche Mda
 
Cours Génie Logiciel 2016
Cours Génie Logiciel 2016Cours Génie Logiciel 2016
Cours Génie Logiciel 2016
 
Télécommunications : la 4G débarque en France
Télécommunications : la 4G débarque en FranceTélécommunications : la 4G débarque en France
Télécommunications : la 4G débarque en France
 
Auris solutions-risque-si-2012
Auris solutions-risque-si-2012Auris solutions-risque-si-2012
Auris solutions-risque-si-2012
 
Auris solutions : risques & piratages pour les PME / TPE
Auris solutions : risques & piratages pour les PME / TPEAuris solutions : risques & piratages pour les PME / TPE
Auris solutions : risques & piratages pour les PME / TPE
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
B1040719
B1040719B1040719
B1040719
 
Deportes
DeportesDeportes
Deportes
 
Green IT - Invesstissements et philosophie d'entreprise
Green IT - Invesstissements et philosophie d'entrepriseGreen IT - Invesstissements et philosophie d'entreprise
Green IT - Invesstissements et philosophie d'entreprise
 
Communiqué de presse Babyphone Digital Green
Communiqué de presse Babyphone Digital GreenCommuniqué de presse Babyphone Digital Green
Communiqué de presse Babyphone Digital Green
 

Similar a Présentation ATM

Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ? Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ? Microsoft Technet France
 
Réseaux industriels et bas de terrain.ppt
Réseaux industriels et bas de terrain.pptRéseaux industriels et bas de terrain.ppt
Réseaux industriels et bas de terrain.pptsaaid6
 
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011infcom
 
Partie II – ASM Application Security Manager
Partie II – ASM Application Security ManagerPartie II – ASM Application Security Manager
Partie II – ASM Application Security Managere-Xpert Solutions SA
 
Processeur cryptographique
Processeur cryptographiqueProcesseur cryptographique
Processeur cryptographiqueRawdha MABROUKI
 
Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)
Jesuisfantastic  - 09 février 2010 - Securité (Alex Huart)Jesuisfantastic  - 09 février 2010 - Securité (Alex Huart)
Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)UCM James Van Wayenbergh
 
Contrôle de congestion et gestion du trafic dans les réseaux atm
Contrôle de congestion et gestion du trafic dans les réseaux atmContrôle de congestion et gestion du trafic dans les réseaux atm
Contrôle de congestion et gestion du trafic dans les réseaux atmMounir Moucharraf
 
Protection travailleur isole pti dati visukab
Protection travailleur isole pti dati visukabProtection travailleur isole pti dati visukab
Protection travailleur isole pti dati visukabSAXXO Technologie
 
Introduction au NFC et sécurité sans contact dans les mobiles
Introduction au NFC et sécurité sans contact dans les mobilesIntroduction au NFC et sécurité sans contact dans les mobiles
Introduction au NFC et sécurité sans contact dans les mobilesantoine_coutant
 
CSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.pptCSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.pptMarrelNguemaMvome
 
La sécurité toujours en éveil au cœur du processeur avec Intel et McAfee
La sécurité toujours en éveil au cœur du processeur avec Intel et McAfee La sécurité toujours en éveil au cœur du processeur avec Intel et McAfee
La sécurité toujours en éveil au cœur du processeur avec Intel et McAfee Microsoft France
 
La sécurité toujours en éveil au cœur du processeur avec Intel et McAfee
La sécurité toujours en éveil au cœur du processeur avec Intel et McAfee La sécurité toujours en éveil au cœur du processeur avec Intel et McAfee
La sécurité toujours en éveil au cœur du processeur avec Intel et McAfee Microsoft Décideurs IT
 
L'application de l'amdec sur le valideur vpe 412
L'application de l'amdec sur le valideur vpe 412L'application de l'amdec sur le valideur vpe 412
L'application de l'amdec sur le valideur vpe 412Mohamed Amine SERHANI
 
Ft administration de réseau
Ft administration de réseauFt administration de réseau
Ft administration de réseauadifopi
 
Fonctions de Hotspot Management sur les USG
Fonctions de Hotspot Management sur les USGFonctions de Hotspot Management sur les USG
Fonctions de Hotspot Management sur les USGZyxel France
 

Similar a Présentation ATM (20)

Atm
AtmAtm
Atm
 
Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ? Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ?
 
Protocole Diameter
Protocole DiameterProtocole Diameter
Protocole Diameter
 
Réseaux industriels et bas de terrain.ppt
Réseaux industriels et bas de terrain.pptRéseaux industriels et bas de terrain.ppt
Réseaux industriels et bas de terrain.ppt
 
Réseaux Mobiles
Réseaux MobilesRéseaux Mobiles
Réseaux Mobiles
 
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011
 
Partie II – ASM Application Security Manager
Partie II – ASM Application Security ManagerPartie II – ASM Application Security Manager
Partie II – ASM Application Security Manager
 
Chapitre 1 sem
Chapitre 1 semChapitre 1 sem
Chapitre 1 sem
 
Processeur cryptographique
Processeur cryptographiqueProcesseur cryptographique
Processeur cryptographique
 
Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)
Jesuisfantastic  - 09 février 2010 - Securité (Alex Huart)Jesuisfantastic  - 09 février 2010 - Securité (Alex Huart)
Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)
 
Contrôle de congestion et gestion du trafic dans les réseaux atm
Contrôle de congestion et gestion du trafic dans les réseaux atmContrôle de congestion et gestion du trafic dans les réseaux atm
Contrôle de congestion et gestion du trafic dans les réseaux atm
 
Conférence EXTREME NETWORKS ACSS 2018
Conférence EXTREME NETWORKS ACSS 2018Conférence EXTREME NETWORKS ACSS 2018
Conférence EXTREME NETWORKS ACSS 2018
 
Protection travailleur isole pti dati visukab
Protection travailleur isole pti dati visukabProtection travailleur isole pti dati visukab
Protection travailleur isole pti dati visukab
 
Introduction au NFC et sécurité sans contact dans les mobiles
Introduction au NFC et sécurité sans contact dans les mobilesIntroduction au NFC et sécurité sans contact dans les mobiles
Introduction au NFC et sécurité sans contact dans les mobiles
 
CSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.pptCSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.ppt
 
La sécurité toujours en éveil au cœur du processeur avec Intel et McAfee
La sécurité toujours en éveil au cœur du processeur avec Intel et McAfee La sécurité toujours en éveil au cœur du processeur avec Intel et McAfee
La sécurité toujours en éveil au cœur du processeur avec Intel et McAfee
 
La sécurité toujours en éveil au cœur du processeur avec Intel et McAfee
La sécurité toujours en éveil au cœur du processeur avec Intel et McAfee La sécurité toujours en éveil au cœur du processeur avec Intel et McAfee
La sécurité toujours en éveil au cœur du processeur avec Intel et McAfee
 
L'application de l'amdec sur le valideur vpe 412
L'application de l'amdec sur le valideur vpe 412L'application de l'amdec sur le valideur vpe 412
L'application de l'amdec sur le valideur vpe 412
 
Ft administration de réseau
Ft administration de réseauFt administration de réseau
Ft administration de réseau
 
Fonctions de Hotspot Management sur les USG
Fonctions de Hotspot Management sur les USGFonctions de Hotspot Management sur les USG
Fonctions de Hotspot Management sur les USG
 

Présentation ATM

  • 1. La sécurité des réseaux ATM Maryline Laurent-Maknavicius dép. RSM, Télécom Bretagne Avril 1998
  • 2. Plan La problématique Les particularités des réseaux ATM Les problèmes de sécurité des réseaux ATM Les solutions de sécurité proposées : – la négociation de services de sécurité (analyse des approches de l’ATM Forum, de Deng, de Chuang et de Télécom Bretagne) – l’échange protégé de données (analyse des approches de l ’ATM Forum, de Télécom Bretagne) Conclusion
  • 3. Problématique Le 20/11/97 Je suis ... Services de sécurité Ecoutes : Service de confidentialité Brouillage : Service d’intégrité Usurpation d’identité : Service d’authentification Rejeu de message: Service de détection de rejeu
  • 4. Les particularités des réseaux ATM (Asynchronous Transfer Mode) L'ATM est à commutation de cellules Application données AAL segmentation ATM cellules ATM Physique
  • 5. Les particularités des réseaux ATM L'ATM est à commutation de cellules Application données AAL AAL ATM ATM ATM Physique Physique Physique commutateur ATM
  • 6. Les particularités des réseaux ATM L'ATM est orienté connexion Application Application Plan Plan de utilisateur contrôle AAL AAL AAL AAL ATM ATM Physique ouverture Physique de connexion échange de données
  • 7. Les particularités des réseaux ATM L'ATM est orienté connexion Application Application Plan de Plan de contrôle contrôle AAL AAL ouverture AAL AAL ATM de connexion ATM Physique SET UP Physique @ATM source @ATM destination IEs (Eléments Application visée d'information)
  • 8. Les particularités des réseaux ATM L'ATM est orienté connexion Application Application Plan Plan de utilisateur contrôle AAL AAL AAL AAL ATM ATM Physique Physique SET UP CONNECT données
  • 9. Les particularités des réseaux ATM Les cellules de gestion Plan de gestion pour maintenir le AAL AAL réseau opérationnel à l’aide de : • cellules de gestion OAM ATM (Operation And Maintenance) Physique
  • 10. Les problèmes de sécurité des réseaux ATM messages de signalisation cellules de gestion données utilisateur
  • 11. Les problèmes de sécurité des messages de signalisation messages de signalisation SET UP @ATM source @ATM destination Application visée Attaques : Services de sécurité : écoutes confidentialité usurpation d'identité authentification
  • 12. Les problèmes de sécurité des cellules de gestion cellules de gestion Attaques : Services de sécurité : écoutes confidentialité brouillage intégrité
  • 13. Les problèmes de sécurité des données utilisateur données utilisateur Attaques : Services de sécurité : écoutes confidentialité brouillage intégrité
  • 14. Les problèmes de sécurité des données utilisateur ... le compte en Suisse de Mr ... ... 3 cuillères à soupe d'... Nécessité de négocier des services de sécurité pour protéger les données utilisateur
  • 15. Les besoins de sécurité des réseaux ATM Nécessité de : négocier les services de sécurité utiles à la protection des données utilisateur protéger les données utilisateur protéger les messages de signalisation
  • 16. La négociation de services de sécurité 3 approches suivant que la négociation du contexte de sécurité : fait partie intégrante de l’ouverture de connexion (ATM Forum, Deng, Chuang, Télécom Bretagne) fait l’objet d’une connexion spécifique (ATM Forum, Stevenson) s’effectue en continu en tant qu’informations de gestion (ATM Forum)
  • 17. Les travaux de l’ATM Forum ATM Forum : consortium international en charge de la définition des spécifications ATM Le contexte : protection des communications entre terminaux, entre commutateurs ou entre terminaux et commutateurs
  • 18. Le contexte des travaux ATM Forum proxy proxy Protection des communications
  • 19. La négociation des services dans l’ATM Forum via les messages de signalisation (placement des informations de sécurité (clés de chiffrement, mécanismes de sécurité, authentificateur) dans des IEs SET UP IEs de sécurité CONNECT échange protégé de données
  • 20. La négociation via les messages de signalisation dans l’ATM Forum proxy proxy Dans la version des spécif. de l ’ATM Forum de sept. 97, 1 seul IE pour : négocier des services de sécurité protéger les messages de signalisation
  • 21. Les services de sécurité offerts par l’ATM Forum Pour les messages d’ouverture de connexion: la négociation de services de sécurité l’échange de clés de session Pour tous les messages de signalisation : l’authentification de l’émetteur des messages l’intégrité d’une partie du message le contrôle d ’accès la détection du rejeu de message Utilisation de protocoles de sécurité à 2 voire 3 échanges
  • 22. Le format de l’IE de sécurité défini par l’ATM Forum (Spécif. Sept.97) SET UP Section d ’Association de sécurité @ATM source @ATM source avec @ATM destination @ATM destination proxy de sécurité cible Section d ’Association de Sécurité #1 scope Section d ’Association étiquette de sécurité de Sécurité #2 négociation Section d ’Association clés de session de Sécurité #3
  • 23. La négociation des services dans l’ATM Forum (Spécif. Sept.97) dans le contenu même d'une connexion (données utilisateur) : des données sont échangées sous forme de cellules de données utilisateur ouverture de connexion échanges de données BLOCAGE DES ECHANGES négociation DEBLOCAGE DES ECHANGES échanges protégés de données
  • 24. La négociation des services dans l’ATM Forum (Spécif. Sept. 97) Par le biais des informations de gestion (cellules de gestion OAM) Avantage : offre une parfaite synchronisation des informations de sécurité transmises avec le flot de données utilisateur Utilisation par l’ATM Forum limitée au renouvellement des clés de session en cours de connexion
  • 25. La négociation via les cellules de gestion dans l’ATM Forum(Spécif. Sept. 97) 2 étapes pour renouveler les clés : une cellule OAM d’envoi de la nouvelle clé de session (chiffrée) une cellule OAM d’activation du changement de clé de session avec envoi à intervalles de temps réguliers
  • 26. La négociation via les cellules de gestion dans l’ATM Forum(Spécif. Sept. 97) Activation du Activation du Envoi de la changement changement nouvelle clé de clé de clé de session Sens d’émission
  • 27. Les travaux de Télécom Bretagne le projet Démostène Partenaires : CNET et DGA But : permettre à des utilisateurs distants l’échange de données multimédia et le travail coopératif Réseau ATM proxy proxy public Site ATM Site ATM
  • 28. La solution SAFE (Solution for an ATM Frequent communications Environment) proxy proxy Réseau public Connexion à protéger Site ATM Site ATM
  • 29. La négociation des services dans SAFE via les messages de signalisation avec la définition d'un IE de sécurité proxy proxy 1 IE de 1 IE de sécurité sécurité
  • 30. Les services de SAFE L'IE de sécurité permet de : négocier des services de sécurité protéger les messages de signalisation authentification SET UP intégrité @ATM source confidentialité @ATM destination Application visée chiffrement Négociation
  • 31. Les services de SAFE L'IE de sécurité permet de : négocier des services de sécurité protéger les messages de signalisation authentification SET UP intégrité @ATM source confidentialité @ATM destination anonymat Application visée Négociation
  • 32. Le service d’anonymat dans SAFE SET UP SET UP SET UP @a @a @A @b @b @B @a @b a b Site A Site B secret du plan d'adressage préservé
  • 33. L’échange de données protégé 3 approches selon que le service de confidentialité est placé (pour garantir le secret/la confidentialité des données) : dans la couche ATM (Stevenson, Chuang, ATM Forum) dans la couche AAL (Deng) au dessus de la couche AAL (Télécom Bretagne)
  • 34. La confidentialité dans l’ATM Forum (Spécif. Sept. 97) Plan Plan de utilisateur contrôle AAL AAL Où placer le service ATM de confidentialité ? Physique
  • 35. La confidentialité dans l’ATM Forum (Spécif. Sept. 97) Où placer le service de confidentialité ? AAL proxy AAL proxy ATM ATM ATM ATM Physique Physique Comment définir une solution unique ?
  • 36. La confidentialité dans l’ATM Forum (Spécif. Sept. 97) Où placer le service de confidentialité ? AAL proxy AAL proxy ATM ATM ATM ATM Physique Physique ≤ ATM
  • 37. La confidentialité dans l’ATM Forum (Spécif. Sept. 97) Où placer le service de confidentialité ? AAL proxy AAL proxy ATM ATM ATM ATM Physique Physique ≥ ATM
  • 38. La confidentialité dans l’ATM Forum (Spécif. Sept. 97) Où placer le service de confidentialité ? Plan Plan de au niveau de la couche ATM utilisateur contrôle AAL AAL Chiffrement ATM Physique Chiffrement cellule par cellule (charge utile uniquement)
  • 39. L’intégrité dans l’ATM Forum (Spécif. Sept. 97) Plan Plan de utilisateur contrôle AAL AAL Où placer le service d'intégrité ? ATM Physique
  • 40. L’intégrité dans l’ATM Forum (Spécif. Sept. 97) Où placer le service d'intégrité ? Plan Plan de Dans la couche ATM ? utilisateur contrôle AAL AAL Ajout d'un sceau ATM Resegmentation Physique
  • 41. L’intégrité dans l’ATM Forum (Spécif. Sept. 97) Où placer le service d'intégrité ? Plan Plan de Dans la couche AAL ? utilisateur contrôle AAL Ajout d'un sceau Segmentation ATM Physique
  • 42. Le modèle de l’ATM Forum (Spécif. Sept. 97) Plan Plan de utilisateur contrôle AAL service d'intégrité au niveau de la couche AAL ATM service de confidentialité au niveau de la couche ATM Physique
  • 43. Le modèle de l’ATM Forum (Spécif. Sept. 97) Application Plan Plan de utilisateur contrôle négociation de protection services des données AAL AAL utilisateur protection de ATM la signalisation Physique
  • 44. La protection des données dans SAFE échange protégé de données services de services de sécurité sécurité négociés négociés données protégées données données
  • 45. La protection des données dans SAFE une couche dédiée à la sécurité Application au dessus de la couche AAL Plan Plan de utilisateur contrôle Ajout d'un sceau AAL AAL Chiffrement ATM Physique
  • 46. Le modèle SAFE Application Plan Plan de protection utilisateur contrôle négociation de des données services utilisateur AAL AAL protection de ATM la signalisation Physique
  • 47. Conclusion Les avantages de traiter la sécurité dans l’ATM au lieu des couches supérieures (IPv6, TLSP, etc.) : permet de réaliser des services de sécurité basés sur la connaissance des adresses ATM comme l ’authentification, le contrôle d ’accès et l ’anonymat fournit un système de protection commun à l ’ensemble des applications(applications natives)
  • 48. Conclusion utilisable par les opérateurs par exemple pour contrôler l ’accès de leurs abonnés aux services de télécommunication bénéficie de vitesses de chiffrement élevées si le service de confidentialité est implémenté dans la couche ATM car les algorithmes de chiffrement se trouvent implémentés dans le hardware
  • 49. Projets en cours sur la sécurité ATM
  • 50. Projets en cours sur la sécurité ATM Projet ACTS SCAN (Secure communicaions in ATM Networks) Projet en partenariat avec la DGA
  • 51. Projet SCAN Objectifs : – construire un prototype d ’équipement de protection des communications sur les réseaux ATM – basé sur les travaux de SAFE et de l ’ATM Forum
  • 52. Services rendus confidentialité des données (DES ou Triple DES à 155 Mb/s) authentification négociation de services de sécurité (algorithme de chiffrement, échange de clés et de vecteur d ’initialisation) renouvellement périodique des clés de session via les cellules OAM
  • 53. Caractéristiques Négociation de services, authentification et échange de clés via : – la signalisation avec la définition d ’un nouvel IE de sécurité (issu des travaux de SAFE et ATM Forum) – les cellules OAM (nouveau) Le protocole d ’échanges de clés doit être facilement interchangeable
  • 54. Modèle obtenu négociation du service de Application confidentialité renouvellement de clés Plan de gestion Plan Plan de utilisateur contrôle négociation du service de chiffrement AAL AAL confidentialité des données ATM protection de utilisateur la signalisation Physique
  • 55. Projet DGA Objectifs : – imaginer et mettre en œuvre des architectures de contrôle d ’accès pour protéger un réseau ATM Réseau ATM proxy proxy public Site ATM Site ATM
  • 56. Projet DGA Options possibles : – définir un firewall ATM mais ceci peut être très pénalisant en termes de performances – adapter à l ’ATM le NSP (Network Security Probe) développé à Télécom Bretagne pour Internet Travail effectué : – analyse des paramètres ATM intéressants à contrôler et obtention d ’une liste de recommandations de sécurité à observer par les constructeurs d ’équipements ATM
  • 57. Projet DGA Travail à réaliser : – définir les politiques de sécurité qui peuvent être mises valablement en place sur un commutateur de raccordement – introduire de nouveaux paramètres dans la MIB ATM pour améliorer le contrôle d ’accès

Notas del editor

  1. 1 1