HSC
Network Security Consulting Agency Since 1989 - Specialized in Unix, Windows, TCP/IP and Internet
Text mode: access to the page content
Hervé Schauer Consultants
You are here: Home > Resources > Techno-Watch >
Go to: HSC Trainings
Télécharger le catalogue des formations
Search:  
Version française
   Services   
o Skills & Expertise
o Consulting
o ISO 27001 services
o Audit & Assessment
o Penetration tests
o Vunerability assessment (TSAR)
o Forensics
o ARJEL
o Training courses
o E-learning
   Conferences   
o Agenda
o Past events
o Tutorials
   Resources   
o Thematic index
o Tips
o Lectures
o Courses
o Articles
o Tools (download)
o Vulnerability watch
   Company   
o Hervé Schauer
o Team
o Job opportunities
o Credentials
o History
o Partnerships
o Associations
   Press and
 communication
 
 
o HSC Newsletter
o Bulletin juridique HSC
o Press review
o Press releases
o Publications
   Contacts   
o How to reach us
o Specific inquiries
o Directions to our office
o Hotels near our office
|>|  
> Access to the content HTML Beginning of the report  
> Description This document is a report on the 47th meeting of the IETF (Internet Engineering Task Force), which took place between 27 and 31 march 2000 in Adelaide, Australia.  
> Context & Dates Report made for our news monitoring service .
The difference between the report writing and publishing dates are generally due to corrections and proofreading by the different people who took part in the conference.
11 April 2000 - Report writing and Sending to the news monitoring service subscribers
14 April 2000 - Publication in Netcost & Security Hebdo number 24
3 May 2000 - Publication on HSC's web site
June 2000 - Publication in Netcost & Security Magazine number 24  
> Author Hervé Schauer (Herve.Schauer@hsc.fr), Ghislaine Labouret and Gilles Guiot  
> Type  
> Abstract &
Table of content
Introduction
Sans-fil
Dénis de service répartis
IPsec
SAAG
Policy Managment  
> Related documents
> Copyright © 2000, Hervé Schauer Consultants, all rights reserved.

 


Introduction

Comme à l'accoutumée, cette 7ième participation à l'IETF a été l'occasion pour HSC de couvrir l'ensemble des groupes de travail ayant trait à la sécurité, ainsi que quelques autres. Prés de 1500 participants d'horizons divers étaient ainsi rassemblés dans la petite ville d'Adélaïde. Signe des temps, les américains étaient moins de la moitié, des participants comme à Oslo en juillet. Pour la première fois, les japonais n'étaient pas la deuxième délégation, les australiens représentaient 11% des participants, les japonais 10%, suivis la Grande Bretagne (4%), l'Allemagne, la Suède et le Canada (3%).


Sans-fil

Cette 47ième session de l'IETF a fait la part belle aux technologies du sans fil, puisque plusieurs BOF leurs étaient consacrées, ainsi que des présentations lors de la session plénière. À cette occasion, deux initiatives parmi les plus avancées dans ce domaine, WAP et I-mode, étaient présentées.

Edité par le consortium du même nom, le protocole WAP est conçu pour tirer parti des infrastructures sans fil actuelles et fonctionne avec de nombreuses technologies existantes, comme le GSM. WAP permet la consultation de sites Web ainsi que l'accés au services de messagerie électronique, ceci par l'intermédiaire d'une passerelle controllée par l'opérateur de télécommunication. Cette passerelle regroupe l'ensemble des fonctions clés du WAP. Elle asure ainsi la traduction des protocoles et langages (HTTP vers WTP et HTML en WML), ce qui permet à l'opérateur de contrôler les services accessibles et leur facturation. Les contraintes inhérentes à l'utilisation d'un protocole propriétaire (développement d'un contenu spécifique, restrictions d'accés) sont présentées par le consortium WAP comme un mal nécessaire, dû à la faible bande passante offerte par les architectures sans fil actuelles. Dans cette optique cependant, le WAP risque de ne pas survivre à l'arrivée des nouvelles technologies cellulaires telles que le GPRS ou encore l'UMTS. Pour rappel, ces dernières offrent respectivement une bande passante jusqu'à 384 Kb et 2 Mb. Le GPRS devrait être déployé dés 2001 et l'UMTS dés 2004. Les contenus ont certes évolués, mais en 1986, ma connexion passait par un modem à 1200 bauds, et en 1992, la connexion TCP/IP d'HSC permettait l'usage d'X11 sur TCP/IP avec avec une liaison à 9,6 Kb. De ce point de vue, I-mode est l'opposé de WAP. Si WAP a un marketing fort, et rappelle que ses membres représentent un potentiel de 90% du marché mondial de la téléphonie mobile, il a à ma connaissance encore peu d'utilisateurs. À contrario, I-mode n'est proposé qu'au Japon, par le service de téléphonie mobile Docomo de l'opérateur national NTT, mais a déjà engrangé plus de 5 Millions d'abonnés en un an, le service ayant ouvert en Février 99. I-mode permet lui aussi l'accès aux services Internet de courrier électronique et d'accès aux serveurs WEB, en utilisant l'infrastructure existante à 9,6 Kb. Une couche transport spécifique a été développée, qui est interconnectée de manière transparente à TCP. IP est remplacé sur le téléphone portable par le protocole spécifique à l'infrastructure de téléphonie cellulaire. Au niveau applicatif, les protocoles sont de bout en bout. Le butineur du téléphone dialogue directement avec le serveur web en HTTP. Certes, les restrictions d'I-mode sont trés sévères (courriers électroniques limités à 0,5 Ko, pages HTTP limitées à 5 Ko et images limitées à 94x72 pixels), mais elles évolueront parallèlement à la disponibilité en bande passante. Le GPRS permettra ainsi d'apporter tout IP sur un téléphone portable.

Les applications (et implications) des technologies sans fil sont légion. Qu'il s'agisse de sa voiture, de sa place d'avion ou d'un lieu public, tous ces endroits permettront la connexion et l'accés aux services en ligne. Si le PDA ne fusionne pas avec le téléphone portable, il permettra du moins d'échanger des données avec celui-ci. L'omniprésence future de la technologie sans fil dans la vie courante doit prendre en compte la sécurité des échanges de données ainsi permis. Sur ce plan, les technologies actuelles ne semblent pas encore matures.


Dénis de service répartis

En français, distribué indique de 1 vers N et réparti de N vers N, là où l'anglais "distributed" signifie de N vers N. Les dénis de service répartis ont été le second sujet de la semaine. Les récentes attaques sur des sites présentés comme des symboles de la netéconomie ont généré un certain nombre de propositions au sein de l'IETF. Ces attaques sont connues depuis longtemps, mais avaient fait l'objet de peu de proposition de solution. Steve Bellovin & Marcus Leech ont proposé d'introduire un message d'ICMP traceback. Un paquet sur 20000, les routeurs enverraient un message ICMP indiquant la source réelle des datagrammes reçu. Cela permettrait de remonter à la source des paquet même en cas d'usurpation de l'adresse IP source (spoofing). Le message ICMP serait lui-même authentifié pour éviter qu'il soit victime d'une usurpation et d'une inondation (flooding). Si ces mesures permettent d'améliorer la situation, elles ne constituent qu'une solution partielle, car il reste à informer la véritable source d'une inondation qu'elle a été victime d'un piratage.


IPsec

Le groupe IPsec a enfanté deux nouveaux groupes, respectivement chargés de travailler sur les domaines de la gestion des politiques de sécurité (IP Security Policy, IPSP) et des accès distants utilisant IPsec (IP Security Remote Access, IPSRA). Ces groupes ont eu plusieurs sessions BOF mais se réunissaient pour la première fois en tant que Working Group à Adélaïde. Ils possèdent déjà tous deux un ensemble d'Internet drafts, précédemment publiés dans le groupe IPsec et présentés lors des BOF, qui ont été passés à nouveau en revue. Pour IPSRA, ces drafts sont issus des solutions propriétaires mises en oeuvre par les fournisseurs. Les deux groupes ont conclu en la nécessité de spécifier clairement les besoins et les exigences associées.

Malgré la création des groupes précédents, le groupe IPsec est encore très actif et possède un nombre important d'Internet drafts en cours. Les deux principales nouveautés sont une méthode permettant de détecter les associations de sécurité mortes et la correction d'un problème de sécurité dans IKE.

Deux méthodes différentes de détection des associations de sécurité mortes ("heartbeats") ont été proposées et discutées ; le groupe a exprimé son intérêt pour une telle fonctionnalité et a décidé de poursuivre le travail dans ce domaine.

Peu de temps avant la publication de la RFC décrivant IKE en novembre 1998, une faiblesse avait été détectée dans la façon dont sont calculées différentes empreintes servant à authentifier les échanges. Cette faille permet notamment une attaque en déni de service dans laquelle un attaquant fait tomber toutes les associations de sécurité en cours. Sa correction avait à l'époque été repoussée, compte-tenu du retard déjà accumulé dans la publication des RFC. Tero Kivinen de SSH a présenté une proposition de correction du problème de façon compatible avec les implémentations actuelles de IKE. Dans la discussion qui a suivi, plusieurs personnes ont évoqué la possibilité de modifier IKE de façon incompatible, ce qui a conduit Theodore Ts'o a procéder à un sondage d'opinion. Le groupe s'est prononcé à l'unanimité pour la correction immédiate de la faiblesse de IKE ; un second vote a révélé qu'un partie des présents étaient pour une modification incompatible de IKE, avec une correction simultanée de tous les différents problèmes de la version actuelle. Aucun consensus n'étant visible sur ce dernier point, Theodore Ts'o a renvoyé le débat à la liste électronique mais le fait que IKE doive être corrigé n'est désormais plus un tabou. Il semble désormais possible qu'un IKE v2, incompatible mais simplifié, finisse par voir le jour.

Enfin, deux initiatives en faveur de l'interopérabilité on été présentées. TAHI propose des ensembles de tests de conformité et d'interopérabilité pour IPv6 et IPsec. Paul Hoffman a rédigé un document, intitulé "Steps for IPsec Interoperability Testing" (draft-hoffman-ipsec-testing), qui indique comment tester l'interopérabilité de deux implémentations IPsec.


SAAG

La réunion du "Open Security Area Directorate" a été principalement centrée sur les algorithmes de chiffrement et sur l'AES (Advanced Encryption Standard). Il a été décidé que tout nouveau protocole utilisant du chiffrement devrait faire en sorte de ne pas être lié à un algorithme précis, mais de pouvoir en changer de façon négociable ("pluggable crypto"). De plus, tous les protocoles doivent vérifier qu'ils pourront passer à l'AES sans problème, notamment au niveau de la taille des blocs qui va changer. Enfin, l'IETF va adresser une lettre au NIST pour exprimer son intérêt pour l'AES et l'assurer que nous sommes prêts à l'utiliser.


Policy Managment

Dans le domaine de la gestion de politiques (policy managment) l'évolution au sein de l'IETF est lente, et se fait principalement dans une optique multi-entités et qualité de service (Service Level Agreements). Cela peut s'expliquer par le caractère ambitieux de la normalisation entreprise, dont la seule lecture du draft de teminologie permet d'avoir un aperçu. Parallèlement, l'association Cisco/IBM développe à marche forcée des solutions propriétaires. Ces solutions prévoient d'associer un utilisateur à une adresse IP, elle même associée à des VLANS. Ces derniers se verraient appliquer des caractéristiques spécifiques selon le niveau de QoS recherché, permettant par exemple la téléphonie sur IP. La problématique sécurité reste quant à elle au second plan, malgré l'activité de certains acteurs, tel le produit de gestion de politiques de sécurité Solsoft NP. À noter que les produits existants de gestion de politique sont mono-entité : conçus pour gérer globalement son réseau dans une entreprise ou organisation. La volonté d'inclure la gestion de multiples entités rend plus complexe l'effort de normalisation entrepris. Il est donc difficile de déterminer dans quels délais cette normalisation aboutira à une réalité implémentable par les fournisseurs.

Last modified on 26 Mars 2003 at 09:58:25 CET - webmaster@hsc.fr
Mentions légales - Information on this server - © 1989-2013 Hervé Schauer Consultants