Stage de fin d’étude - Orange Labs
Sujet: Stage - Test des mécanismes assurant l'Haute Disponibilité pour services basés sur IKEv2/IPsec
Les nouvelles architectures de réseaux mobiles LTE imposent une connexion VPN entre le terminal et la Security Gateway. Ces Security Gateway deviennent un élément crucial pour les communications mobiles. Elle doit supporter des gros volumes de trafic et des nombreux VPNs. Le but de ce stage est d’optimiser la Security Gateway et notamment de permettre la Haute Disponibilité, c'est-à-dire, lorsqu’un tunnel VPN est tombé, le restaurer rapidement sans tout renégocier.
IPsec est un protocole permettant de fournir la sécurité au niveau IP. Il est largement employé aujourd'hui pour les services de type Virtual Private Network (VPN), c'est à dire, réseaux privées virtuelles. Avant l'établissement d'un tunnel IPsec, les deux nœuds accordent différents paramètres de sécurité grâce au protocole IKE (Internet Key Exchange).
C'est ce protocole qui est utilisé par la suite pour gérer toute la connexion. Alors que deux nœuds se mettent d’accord pour communiquer d'une manière sécurisée au niveau IPsec, des associations de sécurité (SA) sont définis sur chaque nœud. L’intégrité, confidentialité et authentification du flux IP sera donc assuré grâce aux différents paramètres définis dans chaque une de SA. Lorsque l’un de nœud perd sa connexion, il sera obligé de renégocier telles paramètres pour maintenir une continuité de service d'IPsec et IKEv2.
On souhaite étudier les mécanismes capables d’offrir une haute disponibilité pour les services basés sur IKEv2/IPsec. Une implémentation Open Source des VPN basés sur IPsec sous Linux est Strongswan. Celui-ci connait déjà des modules capables d’offrir un service d’Haute Disponibilité en cas des failles, perte de la connexion, rétablissement de la communication, etc. Un mécanisme différent est en cours d’implémentation au sein des laboratoires d’Orange Labs et seront prêts pour être étudié au niveau de ses performances.
Alors, l’étudiant sera invité précisément à faire les taches suivantes :
- Connaitre les protocoles de sécurité de réseaux tels qu’IKEv2 et IPsec.
- Se familiariser avec Strongswan et sa configuration.
- Comprendre la problématique dans le cadre de l’Haute Disponibilité pour un service basé sur IKEv2/IPsec.
- Étudier les scenarios d’haute disponibilité en utilisant les outils développés par l’équipe de Strongswan.
- Faire des mesures lors d’un rétablissement de la connexion VPN avec le module High Availabilty de Strongswan.
- Comparer les résultats de rétablissement de la connexion avec celui développé à Orange Labs.
- Les solutions proposées feront l’objet de contribution au sein des organismes de normalisation tels qu’IETF ou 3GPP ainsi qu’au sein de la communauté scientifique.
Contact : daniel.migault@orange.com / daniel.palomares@orange.com