Charbonnier, Laurent (2007). Évaluation de la sécurité des réseaux privés virtuels sur MPLS. Mémoire de maîtrise électronique, Montréal, École de technologie supérieure.
Prévisualisation |
PDF
Télécharger (52MB) | Prévisualisation |
Prévisualisation |
PDF
Télécharger (7MB) | Prévisualisation |
Résumé
Les besoins actuels en termes de transmission sécurisée de l'information sont colossaux. Si les lignes louées représentaient dans le passé la méthode la plus communément employée pour relier deux sites distants, les réseaux privés virtuels prennent de plus en plus le pas sur ces lignes louées, essentiellement grâce à leur coût beaucoup plus faible.
Néanmoins, les VPN de niveau 2 sont complexes à mettre en oeuvre et difficiles à mettre à l'échelle. Récemment sont appams les VPN sur MPLS, offrant de meilleures performances et ne nécessitant pas de chiffrement des données.
Le concept des VPN sur MPLS repose sur l'utilisation de tables de routage et de contextes séparés dans les routeurs de bordure pour chaque VPN. Les paquets sont acheminés dans le réseau MPLS en ajoutant une étiquette supplémentaire permettant de définir leur appartenance à un VPN. Le réseau MPLS est transparent pour les clients des VPN, toutefois ceux-ci doivent faire confiance au foumisseur de service.
Étant de plus en plus déployés, il est nécessaire de vérifier que les VPN sur MPLS sont effectivement sécuritaires et ne permettent pas à des attaquants de s'introduire dans le réseau MPLS ou dans les VPN. Ces demiers doivent être étanches, ne permettant pas de divulguer ou modifier l'information.
La recherche préliminaire des différents modes d'attaques sur un réseau nous permet de confronter la technologie MPLS VPN à des menaces variées, puis de tester des architectures particulières utilisant cette technologie. Des expérimentations ont été menées sur un réseau MPLS de Bell Canada pour montrer que certaines conditions peuvent compromettre la sécurité des VPN sur MPLS. Le protocole BGP, utilisé sous sa variante MP-BGP pour effectuer la signalisation des VPN dans le réseau MPLS fait l'objet d'une étude approfondie. Nos résuUats montrent que l'architecture MPLS/VPN est sécuritaire à la condition qu'aucune erreur de configuration ne soit présente. Finalement, des conseils et recommandations sont présentés afin d'esquiver toute tentative d'attaque.
Résumé traduit
The actual needs in terms of secure data communication are tremendous. In the past, the use of leased lines was the most widespread method to link two distant sites. Today, virtual private networks are stealing the show with their much lower costs. However, layer 2 VPN are difficult to implement and they suffer poor scalability. Nevertheless, VPN using MPLS have recently appeared on the market, offering higher performance without needing data encryption.
The concept of MPLS VPN relies on separate contexts and routing tables on border routers for each VPN. Packets are forwarded in the core network using an extra label defining a VPN membership. Each customer is unaware of the MPLS cloud because of the address space separation. However, high levels of trust toward the service provider are essential.
Considering its ever-growing popularity, it is crucial to make sure that the MPLS VPN technology is indeed secure and would never allow intrusions in the core network or in the VPNs. Likewise, the previously mentioned should provide users with isolation and security, protecting information against eavesdropping or modification.
Preliminary researches on numerous network attack techniques allows us to evaluate the response of MPLS VPN to various threats and then to test particular architectures using that technology. Experimental testing has been performed on a Bell Canada network in order to demonstrate that specific conditions can put the security of MPLS VPNs at risk. MP-BGP, a variant of BGP protocol, used to propagate VPN routing information is extensively analyzed. Our results show that the MPLS VPN architecture is secure, given that no configuration mistake has been made. Finally, advices and recommendations will be suggested in order to dodge any attack attempt.
Type de document: | Mémoire ou thèse (Mémoire de maîtrise électronique) |
---|---|
Renseignements supplémentaires: | "Mémoire présenté à l'École de technologie supérieure comme exigence partielle à l'obtention de la maîtrise en génie avec concentration en réseaux de télécommunications". Bibliogr. : f. [135]-141. |
Mots-clés libres: | analyse, bgp, evaluation, mpls, mpls/vpn, prive, protocole, reseau, securite, test, virtuel, vpn |
Directeur de mémoire/thèse: | Directeur de mémoire/thèse Lavoie, Michel |
Codirecteur: | Codirecteur Bennani, Maria |
Programme: | Maîtrise en ingénierie > Génie |
Date de dépôt: | 02 août 2010 18:45 |
Dernière modification: | 09 nov. 2016 02:33 |
URI: | https://espace.etsmtl.ca/id/eprint/239 |
Gestion Actions (Identification requise)
Dernière vérification avant le dépôt |