Patterns in network security: an analysis of architectural complexity in securing recursive inter-network architecture networks

Small, Jeremiah

January 2012

Recursive Inter-Network Architecture (RINA) networks have a shorter protocol stack than the current architecture (the Internet) and rely instead upon separation of mech- anism from policy and recursive deployment to achieve large scale networks. Due to this smaller protocol stack, fewer networking mechanisms, security or otherwise, should be needed to secure RINA networks. This thesis examines the security proto- cols included in the Internet Protocol Suite that are commonly deployed on existing networks and shows that because of the design principles of the current architecture, these protocols are forced to include many redundant non-security mechanisms and that as a consequence, RINA networks can deliver the same security services with substantially less complexity.

Security protocols

Internet protocol suite

Architectures et fonctions avancées pour le déploiement progressif de réseaux orientés contenus / Architectures and advanced functions for a progressive deployment of Information-Centric Networking

Marchal, Xavier

07 June 2019

Les protocoles historiques d’Internet (TCP/IP) qui servaient à interconnecter les tous premiers ordinateurs ne sont plus adaptés à la diffusion massive de contenus qui en est fait aujourd’hui. De nouveaux protocoles réseau centrés sur les contenus (Information-Centric Networking) sont actuellement conçus pour optimiser ces échanges en pariant sur un changement de paradigme où les contenus, plutôt que les machines sont adressables à l’échelle d’Internet. Cependant, un tel changement ne peut se faire que progressivement et si tous les impératifs opérationnels sont assurés. Ainsi, cette thèse a pour objectif d’étudier et de lever les principaux verrous technologiques empêchant l’adoption du protocole NDN (Name Data Networking) par les opérateur en garantissant la sécurité, les performances, l’interopérabilité, la bonne gestion et le déploiement automatisé d’un réseau NDN. Dans un premier temps, nous évaluons les performances actuelles d’un réseau NDN à l’aide d’un outil de notre conception, ndnperf, et constatons le coût élevé pour un serveur utilisant ce protocole. Puis nous proposons un ensemble de solutions pour améliorer l’efficacité d’un serveur NDN pouvant être jusqu’à 6,4 fois plus efficient que les paramètres de base. Ensuite nous nous intéressons à la sécurité de NDN à travers l’évaluation de l’attaque par empoisonnement de contenus, connue pour être critique mais jamais caractérisée. Cette étude se base sur deux scénarios, en utilisant un serveur et un client pour effectuer la pollution, ou en exploitant une faille dans le traitement des paquets au niveau du routeur. Nous montrons ainsi la dangerosité de l’attaque et proposons une correction de la faille la permettant. Dans un troisième temps, nous cherchons à adapter le protocole HTTP pour qu’il puisse être transporté sur un réseau NDN à des fins d’interopérabilité. Pour ce faire, nous avons développé deux passerelles qui effectuent les conversions nécessaires pour qu’un contenu web puisse rentrer ou sortir d’un réseau NDN. Après avoir décrit notre solution, nous l’évaluons et l’améliorons afin de pouvoir bénéficier d’une fonctionnalité majeure de NDN, à savoir la mise en cache des contenus dans le réseau à hauteur de 61,3% lors de tests synthétiques et 25,1% lors de simulations de navigation avec plusieurs utilisateurs utilisant une loi Zipf de paramètre 1,5. Pour finir, nous proposons une architecture à base de microservices virtualisés et orchestrés pour le déploiement du protocole NDN en suivant le paradigme NFV (Network Function Virtualization). Les sept microservices présentés reprennent soit une fonction atomique du routeur, soit proposent un nouveau service spécifique. Ces fonctions peuvent ensuite être chaînées pour constituer un réseau optimisé. Cette architecture est orchestrée à l’aide d’un manager qui nous permet de pleinement tirer parti des avantages des microservices comme la mise à l’échelle des composants les plus lents ou encore le changement dynamique de topologie en cas d’attaque.Une telle architecture, associée aux contributions précédentes, permettrait un déploiement rapide du protocole NDN, notamment grâce à un développement facilité des fonctions, à l’exécution sur du matériel conventionnel, ou encore grâce à la flexibilité qu’offre ce type d’architecture. / Internet historical protocols (TCP/IP) that were used to interconnect the very first comput-ers are no longer suitable for the massive distribution of content that is now being made. New content-based network protocols (Information-Centric Networking) are currently being designed to optimize these exchanges by betting on a paradigm shift where content, rather than machines, are addressable across the Internet. However, such a change can only be made gradually and if all operational imperatives are met. Thus, this thesis aims to study and remove the main tech-nological obstacles preventing the adoption of the NDN (Name Data Networking) protocol by operators by guaranteeing the security, performance, interoperability, proper management and automated deployment of an NDN network. First, we evaluate the current performance of an NDN network thanks to a tool we made, named ndnperf, and observe the high cost for a provider delivering fresh content using this protocol. Then, we propose some optimizations to improve the efficiency of packet generation up to 6.4 times better than the default parameters. Afterwards, we focus on the security of the NDN protocol with the evaluation of the content poisoning attack, known as the second more critical attack on NDN, but never truly characterized. Our study is based on two scenarios, with the usage of a malicious user and content provider, or by exploiting a flaw we found in the packet processing flow of the NDN router. Thus, we show the danger of this kind of attacks and propose a software fix to prevent the most critical scenario. Thirdly, we are trying to adapt the HTTP protocol in a way so that it can be transported on an NDN network for interoperability purposes. To do this, we designed an adaptation protocol and developed two gateways that perform the necessary conversions so that web content can seamlessly enter or exit an NDN network. After describing our solution, we evaluate and improve it in order to make web content benefit from a major NDN feature, the in-network caching, and show up to 61.3% cache-hit ratio in synthetic tests and 25.1% in average for browsing simulations with multiple users using a Zipf law of parameter 1.5. Finally, we propose a virtualized and orchestrated microservice architecture for the deploy-ment of an NDN network following the Network Fonction Virtualization (NFV) paradigm. We developed seven microservices that represent either an atomic function of the NDN router or a new one for specific purposes. These functions can then be chained to constitute a full-fledged network. Our architecture is orchestrated with the help of a manager that allows it to take the full advantages of the microservices like scaling the bottleneck functions or dynamically change the topology for the current needs (an attack for example). Our architecture, associated with our other contributions on performance, security and in-teroperability, allows a better and more realistic deployment of NDN, especially with an easier development of new features, a network running on standard hardware, and the flexibility allowed by this kind of architecture.

Virtualisation

Sécurité

Gestion de réseau

Suite des protocoles Internet

Network

Virtualization

Security

Network management

Internet protocol suite

004.62

005.8