Secure multicast routing infrastructure : the network operator point of view / Zainab Khallouf ; sous la direction de Andrzej Duda

Date :

Type : Livre / Book

Type : Thèse / Thesis

Langue / Language : anglais / English

Coupe-feu (sécurité informatique)

Protocoles de réseaux d'ordinateurs

Multicast (réseaux d'ordinateurs)

Duda, Andrzej (19..-.... ; chercheur en informatique) (Directeur de thèse / thesis advisor)

Institut national polytechnique (Grenoble ; 1900-....) (Organisme de soutenance / degree-grantor)

Relation : Secure multicast routing infrastructure : the network operator point of view / Zainab Khallouf / Villeurbanne : [CCSD] , 2009

Relation : Secure multicast routing infrastructure : the network operator point of view / Zainab Khallouf ; sous la direction de Andrzej Duda / Grenoble : Atelier national de reproduction des thèses , 2006

Résumé / Abstract : Ce travail considère la sécurité de l'infrastructure multicast du point de vue de l'opérateur de réseau. Or, l'opérateur est essentiellement concerné par un problème de "continuité de service en toutes circonstances", même en le cas ou son réseau est victime d'une attaque. Dans cette thèse nous identifions les attaques possibles, nous les classons selon leurs impacts pour l'opérateur, et identifions divers mécanismes de sécurité pour y faire face. Cette étude révèle que l'infrastructure est fortement vulnérable aux attaques DoS consommanl les ressources de réseau, ce dernier devenant alors lent voir indisponible. Ces attaques sont faciles à lancer de la périphérie de réseau (intentionnellement ou non) en utilisant les protocoles de gestion de groupe IGMP/MLD. Notre étude révèle également les limites des approches proposées pour répondre à ces attaques. A la lumière de l'analyse détaillée de la problématique, des vulnérabilités, et des solutions actuelles, nous proposons une nouvelle approche pour aider le réseau de l'opérateur à se défendre contre les attaques basées sur IGMP ou MLD. Notre Proposition suit une approche pragmatique et flexible, qui garantit qu'elle sera facilement déployée dans les infrastructures existantes, et vise également à protéger les clients légitimes en cas d'attaque.

Résumé / Abstract : ln this thesis we adopt the security from the multicast Network Operator's viewpoint. The kind of security required by a network operator, who manages and operates the multicast routing infrastructure, largely differs from that of end-to-end security. More specifically, the operator is concerned by service continuity no matter what happens. While many theoretically ideal proposais have been done to secure the routing protocols, they have rarely been accepted by the operator community. For instance, because they require to modify existing and widely deployed protocols, or they introduce heavy authentication mechanisms, which is in practice almost impossible to deploy in legacy networks, and even infeasible, since a corrupted host may be the source of a DoS attack, even if it has been authenticated. ln this thesis analyze in depth the threats to the multicast infrastructure. We show that the vulnerability of the multicast model comes largely from the edge. More specifically, several attacks arise from the use of group management protocols, IGMP for IPv4 and MLD for IPv6. ln the light of this analysis, we introduce and evaluate a simple, yet efficient filtering approach to thwart some DoS attacks that are based on IGMP or MLD flooding, and that threaten the whole operator's infrastructure.