Nom du projet: MobiSecV6

Gestion et sécurité de la mobilité dans l'INTERNET du futur (IPv6)

Introduction

• de se déplacer dans l'Internet tout en conservant leurs connexions actives
• de disposer d'une adresse principale universelle permettant au mobile d'être accessible dans tout l'Internet
• de pouvoir accéder à des services et des données via les protocoles de mobilité avec la même sécurité que les utilisateurs soient dans leur réseau d'origine ou à l'extérieur de ce dernier.

Le projet regroupe trois partenaires : Bull, l'INRIA et le CNET.

• Le rôle de l'INRIA dans ce projet est double. Il est d'abord de contribuer de contribuer à la spécification du protocole MobileIPv6 à l'IETF (Internet Engineering Task Force) par une implantation de ce protocole dans sa souche IPv6 FreeBSD. Son deuxième rôle est de travailler à la spécification et l'implantation d'une solution hiérarchique de la gestion de la mobilité qui pourra être présentée à l'IETF si les résultats obtenus le justifient. Ceci pour mieux répondre aux besoins de performances et de sécurité.

• Le rôle de Bull est d'implanter ces protocoles de mobilité et de sécurité sur ses serveurs ESCALA® . Bull implantera aussi le traitement des protocoles IPv6 et de la mobilité dans son pare-feu SecurWare®/Netwall® qu'il commercialise. Bull étudiera l'accès en toute sécurité à des services aujourd'hui accessibles qu'en interne par les utilisateurs mobiles via ces protocoles et le pare-feu.

• Le rôle de France Télécom, par l'intermédiaire du Centre National d'Etudes des Télécommunications, est de mettre en oeuvre des démonstrateurs s'appuyant sur les résultats obtenus par Bull et l'INRIA dans ce projet. Ces démonstrateurs s'appuyeront sur des plates-formes utilisant les techniques de télécommunications filaires et sans fil de type GSM ou réseau local radio. Elles permettront ainsi la validation et l'intégration de la mobilité et de la sécurité dans des environnements utilisateurs mobiles.

Perspectives d'innovations

• Le marché

Le marché est aujourd'hui naissant mais tous les composants pour mettre en place une bonne gestion et une bonne sécurité de la mobilité existent.

Les entreprises installent des Intranets et se connectent à l'Internet. Les équipement portables intégrant IP sont de plus en plus petits et se multiplient. Les réseaux sans fil se développent. Les utilisateurs, notamment professionnels, veulent, qu'ils soient dans l'entreprise ou à l'extérieur, avoir un accès sûr à des bases de données et à des services centralisés. Ils désirent être eux-mêmes accessibles. Le bureau devient mobile.

Si le marché de la micro-informatique arrive à maturation et entre dans une phase de consolidation, les portables restent l'un des marchés clés de la micro-informatique. Le marché devrait encore grandir avec le développement des réseaux sans fil, les liaisons par satellite. A terme il incorporera les environnements eux-même mobiles comme les avions, les navires, les trains, les voitures.

La nouvelle génération d'ordinateurs de poche, qui intègre des cartes modem GSM, contribuera à l'expansion de l'informatique mobile. En particulier, les produits haut de gamme, c'est-à-dire ceux qui sont conçus pour effectuer les mêmes tâches qu'un ordinateur de bureau.

Le cabinet d'études IDC estime que les micro-ordinateurs portables communicants constitueront 40% des ventes professionnelles en 2001 contre 25% actuellement.

Le cabinet estime aussi qu'en 2001 on vendra au moins 40 millions de nouveaux outils d'accès à l'Internet dont des téléphones cellulaires.

Il faut savoir aussi que dès aujourd'hui il existe aux USA des zones accessibles par des équipements sans fil et couvertes par des fournisseurs d'accès Internet.
 

• Verrous technologiques

 

Il faut développer des solutions standards (IETF) comme les protocoles Nouvelle Génération IPv6, IPSec et MobileIPv6 mais aussi prendre en compte si la mobilité est simplement locale (à l'intérieur d'un site) ou globale (Internet) et intégrer les deux pour une meilleure efficacité.

Le protocole IPv6 est le protocole amené à remplacer l'actuel IPv4 utilisé dans l'Internet pour résoudre les lacunes de ce dernier (manque d'adresses, mauvaises performances du routage, trop rigide). Il est aussi conçu pour faciliter l'implantation de nouveaux services comme la gestion de la mobilité et la sécurité. IPv6, en cours d'expérimentation, est un protocole neuf plus apte à intégrer la mobilité qu'IPv4 conçu dans les années 70, époque à laquelle la mobilité n'était pas envisagée.

Le protocole Mobile IPv6 est en cours de standardisation par l'IETF. Ce protocole permet à un utilisateur mobile de se déplacer dans l'Internet tout en conservant ses connexions actives et de rester accessible grâce à une adresse IP principale universelle. Le mobile acquière une adresse dans son réseau d'origine et la conserve dans tout l'Internet grâce au maintien par le protocole MobileIPv6 d'une association entre cette adresse et les adresses temporaires attribuées au mobile dans les réseaux visités. Les média filaires ou sans fil peuvent être indépendamment utilisés.

Les mobiles seront à la base de problèmes de sécurité qui sont loin d'être tous connus et qu'il est important d'identifier et de résoudre. Ils peuvent être un obstacle majeur pour la généralisation des accès mobiles sur l'Internet ou vers un Intranet. La sécurité sera encore plus nécessaire compte tenu du peu de fiabilité des liaisons sans fil.

MobileIPv6 utilise pour ces échanges un autre protocole IETF IPSec. Ce dernier assure la sécurité au niveau IP, sécurisant les moyens de communications. Le contexte très dynamique d'adresses temporaires et de tunnels IPSec manipulé par les protocoles de gestion de la mobilité nécessitera une architecture donnant naissance à une nouvelle génération de pare-feux.

La manipulation d'une seule adresse IP identifiant le mobile en déplacement facilitera l'intégration des mécanismes de sécurité comme l'authentification mais aussi la configuration des pare-feux permettant à ceux-ci d'autoriser l'accès à des services interdits auparavant.
 

• Déploiement

 

Le déploiement de la mobilité est lié au déploiement opérationnel d'IPv6 qui s'effectuera graduellement dès le début des années 2000. Des modes de fonctionnement de cohabitation avec IPv4 devront être pris en compte pendant la transition IPv4-IPv6.

Le déploiement de la sécurité dépendra de l'aménagement des lois concernant l'utilisation des dispositifs de cryptologie.

Technologies de mise en oeuvre et état de l'art

Notre projet s'appuie sur les standards IETF IPv6, MobileIPv6, IPSec et leurs RFC associés. Les RFC sont des documents rédigés par les groupes de travail de l'IETF (Organisme international définissant les standards des protocoles et services dans l'Internet après établissement d'un consensus). Des propositions d'amélioration des protocoles pourront être soumises notamment en qui concerne la gestion hiérarchique de la mobilité.

La distribution des clés des algorithmes d'authentification et de chiffrement pourra elle aussi être abordée. Ceci sera dépendant du déploiement des systèmes IKE (Internet Key Exchange) et des autorisations légales pour la gestion de clés.

Dans l'environnement hautement dynamique des protocoles de mobilité sur IPv6, les pare-feux traditionnels se montrent incapables d'appréhender la complexité du protocole dans sa globalité et d'assurer la sécurité du contrôle d'accès. Leur compréhension des échanges est généralement très pauvre; de ce fait, les cas d'utilisation sont la plupart du temps réduits à des situations très basiques et l'étanchéité du contrôle d'accès peut offrir des failles importantes.

Par ailleurs, les architectures traditionnelles des pare-feux occasionnent généralement une dégradation de performance importante dès lors qu'ils effectuent des contrôles complexes et des analyses en profondeur des échanges, faisant vite du pare-feu un goulot d'étranglement dans les communications avec l'extérieur. La technologie mise en oeuvre sera basée d'une part sur des agents réactifs et intelligents et d'autre part sur une répartition des dispositifs de filtrage dans les différentes couches de communication permettant à la fois l'analyse en profondeur des protocoles de mobilité sur IPv6 et l'obtention de performances élevées en terme de débit.

Organisation du projet

Les partenaires sont:

Bull, INRIA, France Télécom (CNET - Développement)
 
Le projet est piloté par Bull.
 
• Bull travaillera sur les implantations de MobileIPv6 dans AIX® et complètera son pare-feu SecurWare/NetWall pour le contrôle des paquets IPv6 et ceux liés aux protocoles de la mobilité.

• L'INRIA participe à ce projet pour réaliser une implantation sur le logiciel libre FreeBSD afin de valider le protocole MobileIPv6 de l'IETF et de proposer une gestion hiérarchique de la mobilité à l'IETF pour standardisation.

• France Télécom de son coté est intéressé par l'intégration de toutes briques développées dans le projet et réalisera un démonstrateur sur une plate-forme mettant en oeuvre les différentes réalisations en utilisant des réseaux fixes et mobiles (GSM, WaveLAN).
La durée totale du projet est de 27 mois à partir du 1/9/98.

Synthèse 1 du projet pour la période : septembre 1998 – décembre 1998.
 

Valorisation des recherches

Les résultats du projet seront valorisés par des publications scientifiques dans les revues et les conférences internationales et par la réalisation d'un démonstrateur qui permettra de mettre en évidence les avantages et le bon fonctionnement des résultats du projet.

Ce démonstrateur se composera de briques logicielles (SecurWare/NetWall) et de serveurs Bull (ESCALA), d'ordinateurs personnels portables avec un système d'exploitation FreeBSD fourni par l'INRIA ainsi que de réseaux filaires et sans fil mis en place par le CNET.

Selon les résultats de cette expérimentation :
 

• L'INRIA contribuera à l'amélioration du protocole MobileIPv6 et proposera au groupe de travail de l'IETF un document  sur la gestion hiérarchique permettant à l'INRIA de participer encore plus au développement des protocoles Nouvelle Génération. Cela avait déjà été le cas avec IPv6 quand l'INRIA avait fourni une des premières souches implantant le protocole IPv6.

• Bull pourra constituer une offre différenciée sur ses serveurs en gérant la mobilité MobileIPv6 après avoir été un des premiers constructeurs à commercialiser IPv6.

 

Bull pourra être aussi en mesure de valoriser son pare-feu SecurWare/Netwall en intégrant IPv6 et en gérant la mobilité après avoir été un des premiers constructeurs à disposer d'une offre sécurité complète.

L'entité de Bull SecurWare offre déjà à ses clients un catalogue de solutions logicielles relatives à la sécurité des réseaux, SecurWare/NetWall étant la solution pare-feu. Ce pare-feu "avancé" conjugue le filtrage dynamique IP avec des relais applicatifs (proxies). Cette solution pare-feu est déjà opérationnelle chez beaucoup d'utilisateurs.
 

• France Télécom-CNET pourra offrir aux entreprises des services et une infrastructure supportant la mobilité IP tout en leur garantissant la sécurité des connexions sur leurs réseaux d'entreprise.

Aimé Le Rouzic (Aime.Le-Rouzic@bull.net)
BULL S.A
1 rue de Provence - BP 208
38432 Echirolles Cedex
Tel: 04 76 29 75 00