Sécurité du plan de gestion des réseaux IP

par Vincent Cridlig

Thèse de doctorat en Informatique

Sous la direction de Olivier Festor.


  • Résumé

    Au cours des dernières années, l'évolution rapide des réseaux a provoqué une explosion de la diversité et du nombre des équipements gérés et, par conséquent, du nombre de plateformes de supervision de réseaux. Chacune de ces plateformes induit un environnement de gestion à la fois clos de part la spécificité de son architecture et de son protocole de communication mais également non isolé de part la nature des ressources gérées. En effet, bien qu'hétérogènes, les modèles de données de ces plateformes se recouvrent au moins partiellement. Il s'ensuit un fort problème de sécurité puisque chacune de ces plateformes de supervision met en œuvre sa propre architecture de sécurité avec ses paramètres associés. Le problème apparaît également au sein d'une même plateforme qui autoriserait plusieurs modèles de sécurité ou plusieurs protocoles sous-jacents. Jusqu'à maintenant, il n'y a pas eu de véritable réflexion sur les conséquences de cet environnement et les solutions envisageables. Dans cette thèse, nous proposons des architectures inter-plateformes de distribution automatique des droits d'accès de façon à limiter les différences de permissions et aboutir à une meilleure cohérence des politiques de sécurité. Nous définissons également un modèle de vérification des droits d'accès pour assurer une cohérence locale au sein d'un même équipement. Ce modèle exprime dans un référentiel commun des politiques hétérogènes de façon à en extraire les différences de permissions. Nous avons également étendu le protocole Netconf avec un modèle de contrôle d'accès basé sur les rôles. Cette proposition a été implantée et a donné lieu à étude de l'impact des règles d'accès et des services de sécurité mis en œuvre sur les performances.

  • Titre traduit

    Sécurity of IP Network management


  • Résumé

    Over the past decades, the fast evolution of networks led to an increasing diversity and number of managed devices, and consequently to many network management platforms. Each of these platforms creates a close environment delimited by its management model, protocol and data model but also a non-isolated environment because of the shared managed resources within a device. Indeed, although the data models are heterogeneous across platform, they may recover partially. This environment is responsible for a security gap since each network management platform has its own security architecture along with its own associated security parameters. The problem also appears within a single platform allowing many security models or underlying protocols. Up to now, there has been no real work regarding the consequences of such an heterogeneous environment and the possible solutions. In this thesis, we propose some multi-platform architectures that are able to distribute access rights automatically and on-the-fly in order to limit the privilege discrepancies between platforms and to improve security policies consistency. We also define a model for checking the access rights in order to guaranty the local consistency within one device. This model translates heterogeneous policies in a convergent representation in order to extract their privilege differences. We have extended the Netconf configuration protocol with a role-based access control framework. This proposal has been implemented and a series of benchmarks showed that the impact of XPath-based access control rules on the global processing time of a Netconf agent was acceptable.

Consulter en bibliothèque

La version de soutenance existe sous forme papier

Informations

  • Détails : 1 vol. (x-140 p.)
  • Annexes : Bibliogr. p. 135-140

Où se trouve cette thèse ?

  • Bibliothèque : Université de Lorraine (Villers-lès-Nancy, Meurthe-et-Moselle). Direction de la Documentation et de l'Edition - BU Sciences et Techniques.
  • Disponible pour le PEB
  • Cote : SC N2006 180
  • Bibliothèque : Institut national des sciences appliquées (Villeurbanne, Rhône). Service Commun de la Documentation Doc'INSA.
  • Non disponible pour le PEB
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.