Colloque « Télécommunicationsréseaux du futur et services » Projet ANR "MobiSEND" Etude de la sécurité de l'auto-configuration et utilisation des outils associés pour les protocoles de sécurité et de mobilité en IPv6. Jean-Michel COMBES France Telecom – Orange Labs • Appel ANR 2007 – Thématique "Sciences et Technologies de l’information" – Programme "Télécommunications" • Partenaires – Orange Labs (chef de file), EADS, Telecom SudParis, INRIA • Durée – Janvier 2008 – Juillet 2010 • Budget – Coût global : ~2M€ – Aide de l'ANR : 490k€ Colloque « Télécommunications – réseaux du futur et services » - Rennes du 6 au 8 décembre 2010 Objectifs 1/4 • Le protocole IPv6, futur standard de l'Internet – Mécanisme d'auto-configuration des terminaux, partie intégrante de ce protocole – Sécurisation de ce mécanisme standardisée à l'Internet Engineering Task Force (IETF) – Pas ou peu de retours existants concernant cette sécurité • Objectif (1) du projet – Etude, analyse et intégration dans une plate-forme de démonstration, du mécanisme d'auto-configuration en IPv6 et sa sécurisation. Colloque « Télécommunications – réseaux du futur et services » - Rennes du 6 au 8 décembre 2010 Objectifs 2/4 • La sécurité pour les opérateurs – Obligation et marque de confiance vis-à-vis des clients – Surcoûts ne pouvant être totalement répercutés – Réutilisation de mécanismes/matériels de sécurité, synonyme de réductions de coûts • Objectif (2) du projet – Etude, analyse et intégration dans une plate-forme de démonstration, de la réutilisation, pour des protocoles de sécurité, des outils précédemment étudiés. Colloque « Télécommunications – réseaux du futur et services » - Rennes du 6 au 8 décembre 2010 Objectifs 3/4 • La mobilité en IPv6 – IPv6 fournit des mécanismes de mobilité – Mobilité des terminaux et des réseaux – Nécessité d'une sécurité globale pour ces mécanismes • Objectif (3) du projet – Etude, analyse et intégration dans une plate-forme de démonstration, de la réutilisation, pour des services de mobilité, de tous les résultats précédents. Colloque « Télécommunications – réseaux du futur et services » - Rennes du 6 au 8 décembre 2010 Objectifs 4/4 • Standardisation – S'appuyer sur les standards existants – Pousser de nouvelles propositions (IETF, ISO) – Remonter des retours d'expérience • Diffusion des résultats – Documents rédigés libre d'accès – Implémentations "open source" – Site WWW : www.mobisend.org • Communauté académique – Soumission d'articles dans des conférences nationales et internationales • Collaborations – Projet européen GeoNET (http://www.geonet-project.eu) Colloque « Télécommunications – réseaux du futur et services » - Rennes du 6 au 8 décembre 2010 Structure du projet (1/2) • Objectif (1), Sécurisation de l'auto-configuration en IPv6 – Sous-Projet 1 + Sous-Projet 2 – Orange Labs, EADS, Telecom SudParis • Objectif (2), Réutilisation des mécanismes et outils de sécurité – Sous-Projet 3 – Orange Labs • Objectif (3), Sécurisation de la mobilité IPv6 – Sous-Projet 4 – Orange Labs, EADS, Telecom SudParis, INRIA Colloque « Télécommunications – réseaux du futur et services » - Rennes du 6 au 8 décembre 2010 Structure du projet (2/2) • Démonstrations – Sous-Projet 5 – Orange Labs, EADS, Telecom SudParis, INRIA Colloque « Télécommunications – réseaux du futur et services » - Rennes du 6 au 8 décembre 2010 Sous-Projet 1 + Sous-Projet 2 (1/2) • Analyse de la sécurité pour l'auto-configuration en IPv6 – Etude des failles existantes (Neighbor Discovery Protocol – NDP) • Implémentation, script d'attaques scapy6 (Python) • Analyse de la solution de sécurité – Etude du mécanisme de sécurité (Secure Neighbor Discovery – SEND) – Etude de mécanismes permettant un déploiement dynamique de SEND • Implémentation, mécanisme de transport de certificats électroniques (C, Linux) – Validation du mécanisme SEND : difficultés rencontrés • Implémentation, SEND "NDProtector" (Python) Colloque « Télécommunications – réseaux du futur et services » - Rennes du 6 au 8 décembre 2010 Sous-Projet 1 + Sous-Projet 2 (2/2) • Livrables – Livrable 2 (SP1a), "Auto-configuration IPv6 (partie routeur) et sa sécurisation" – Livrable 4 (SP2), "Auto-configuration IPv6 (partie noeud) et sa sécurisation" – Livrable 5 (SP1b), "Outils de distribution de certificats pour SEND" – Implémentation, script d'attaques scapy6 (Python) – Implémentation, mécanisme de transport de certificats électroniques (C, Linux) Colloque « Télécommunications – réseaux du futur et services » - Rennes du 6 au 8 décembre 2010 Sous-Projet 3 • Réutilisation des mécanismes et outils de sécurité – Sécurisation de Dynamic Host Configuration Protocol (DHCP) pour IPv6 – Nouveau type de matériel de sécurité pour Internet Key Exchange v2 (IKEv2) – IPsec • Implémentation, IKEv2+"Cryptographically Cryptographically Generated Addresses (CGA)" (C, Linux) • Livrables – Livrable 9 (SP3), "Utilisation du matériel de sécurité de SEND avec IPsec" – Implémentation, IKEv2+"Cryptographically Cryptographically Generated Addresses (CGA)" (C, Linux) – Implémentation, modification de Wireshark (sniffer) Colloque « Télécommunications – réseaux du futur et services » - Rennes du 6 au 8 décembre 2010 Sous-Projet 4 (1/2) • Analyse de la sécurité pour la mobilité IPv6 – Etude des failles existantes (Mobility Support in IPv6 – MIPv6 & Proxy Mobile IPv6 Network – PMIPv6 & Mobility Basic Support Protocol – NEMO) • Implémentation, script d'attaques scapy6 (Python) • Sécurisation de la mobilité IPv6 – Spécification d'une solution de sécurité pour NEMO • Implémentation, sécurisation du protocole d'optimisation de routage MNPP (C, Linux) Colloque « Télécommunications – réseaux du futur et services » - Rennes du 6 au 8 décembre 2010 Sous-Projet 4 (2/2) • Livrables – Livrable 3 (SP4a), "Sécurité pour les protocoles de mobilité IPv6" – Livrable 6 (SP4b), "Interaction de SEND avec les protocoles de mobilité" – Livrable 10 (SP4c), "Utilisation du matériel de sécurité de SEND pour sécuriser les protocoles de mobilité" – Implémentation, script d'attaques scapy6 (Python) – Implémentation, sécurisation du protocole d'optimisation de routage MNPP (C, Linux) Colloque « Télécommunications – réseaux du futur et services » - Rennes du 6 au 8 décembre 2010 Sous-Projet 5 • Démonstration – Intégration de certains résultats précédents dans la plateforme véhiculaire de l'INRIA • Livrables – Livrable 8 (SP5a), "Démonstration" • Abandonné, informations intégrées dans les livrables 2 et 4 – Livrable 11 (SP5b), "Démonstration finale" Colloque « Télécommunications – réseaux du futur et services » - Rennes du 6 au 8 décembre 2010 Impacts du projet • Publications/Communications – Une quinzaine d'articles dans des conférences nationales ou internationales – Contribution dans des revues/livres • Standardisation – Une vingtaine de contribution à l'IETF (et une nomination) – Des propositions en cours de délibération à l'ISO • Prototypes – 6 implémentations mise à disposition de la communauté scientifiques • Collaborations – 2 nouveaux projets collaboratifs s'appuyant sur les résultats du projet (projets Européen ITSSv6 et SANDRA) Colloque « Télécommunications – réseaux du futur et services » - Rennes du 6 au 8 décembre 2010 Problématiques encore existantes (1/2) • Algorithmes cryptographiques obligatoirement utilisés par SEND – Besoin de SHA-3 et d'algorithmes plus léger (e.g. courbes elliptiques) – Nécessité d'une révision des standards à l'IETF • Implémentation de SEND – Pas conforme sous Linux – Existante récemment sous FreeBSD – Intégrée avec les protocoles de mobilité IPv6 Colloque « Télécommunications – réseaux du futur et services » - Rennes du 6 au 8 décembre 2010 Problématiques encore existantes (2/2) • Standardisation d'un mécanisme dynamique de distribution de certificats – Déploiement dynamique de SEND • Standardisation de l'Optimisation de Routage pour la mobilité des réseaux et sa sécurisation – Pas de travaux en cours à l'IETF – Propositions en cours à l'ISO Colloque « Télécommunications – réseaux du futur et services » - Rennes du 6 au 8 décembre 2010 QUESTIONS ? Colloque « Télécommunications – réseaux du futur et services » - Rennes du 6 au 8 décembre 2010 Merci ! www.mobisend.org Colloque « Télécommunications – réseaux du futur et services » - Rennes du 6 au 8 décembre 2010