Ludovic Jacquin - Compromis performance/sécurité des passerelles très haut débit pour Internet

13:00
Wednesday
20
Nov
2013
Organized by: 

Ludovic Jacquin

Speaker: 

Ludovic Jacquin

Teams: 

Grand Amphithéâtre de Inria Rhône-Alpes

Jury :

  • Dr Olivier Festor (Directeur de recherche, Inria Nancy), Rapporteur.
  • Pr Jean-Marc Pierson (Professeur, Université Paul Sabatier), Rapporteur.
  • Pr Christophe Bidan (Professeur, Supélec), Examinateur.
  • Dr Claude Castelluccia (Directeur de recherche, Inria Rhône-Alpes), Directeur de thèse.
  • Dr Vincent Roca (Chargé de recherche, Inria), Co-Directeur de thèse.
  • Dr Jean-Louis Roch (Maître de conférences, Grenoble-INP/Université de Grenoble), Co-Directeur de thèse.

Dans cette thèse nous abordons le problème de la conception de passerelle IPsec très haut débit pour la sécurisation des communications entre réseaux locaux. Pour cela, nous proposons deux architectures : une passerelle purement logicielle sur un unique serveur, dite intégrée, et une passerelle utilisant plusieurs serveurs et un module matériel cryptographique, dite en rupture.

La première partie de nos travaux étudie l’aspect performance des deux architectures proposées. Nous commençons par montrer qu’un serveur générique est limité par sa puissance de calcul pour atteindre l’objectif de chiffrement et communication à 10 Gb/s. De plus, les nouvelles cartes graphiques, bien que prometteuses en terme de puissance, ne sont pas adaptées au problème du chiffrement de paquets réseau (à cause de leur faible taille). Nous mettons alors en place une pile réseau répartie sur plusieurs machines et procédons à sa parallélisation dans le cadre de l’architecture en rupture.

Dans un second temps, nous analysons l’intégration d’une passerelle dans un réseau, notamment l’interaction du protocole de contrôle ICMP avec IPsec. ICMP est particulièrement important pour atteindre le haut débit par son implication dans le mécanisme d’optimisation de la taille des paquets. Pour cela, nous avons développé IBTrack, un logiciel d’étude du comportement des routeurs, par rapport à ICMP, le long d’un chemin. Nous montrons ensuite qu’ICMP est un vecteur d’attaque contre IPsec en exploitant un défaut fondamental des normes IP et IPsec : le surcoût des paquets IP créé par le mode tunnel entre en conflit avec le minimum de la taille maximale prévue par IP.