RAPPORT DE STAGE

DE FIN D'ETUDES

/

Etude d'IPsec

Projet d'une API_IPsec

pour la Mobilité et le Multihoming

France Télécom Recherche et Développement 38-40, rue du Général Leclerc

92794 Issy-les-Moulineaux Cedex 9

Présentation en Septembre, 2008

Étudiant :

Xavier FERRER CABALLERO

Responsable de stage de France Télécom : M. Daniel MIGAULT

Enseignants de Supélec Rennes :

M. Christophe MOY, M. Gilles TOURNEUR

Sommaire

SOMMAIRE 3

RESUME 5

1. FRANCE TELECOM RESARCH & DEVELOPMENT 6

2. DESCRIPTION DU STAGE 7

2.1 CONTEXTE ET PROBLEMATIQUES 7

2.2 OBJECTIFS 8

2.3 TRAVAIL REALISE 9

2.4 PLANNING 9

3. ÉTUDE THEORIQUE 10

3.1 IPSEC 10

3.1.1 Introduction : besoins de sécurité sur IP 10

3.1.2 Présentation d'IPsec 11

3.1.3 La gestion de clés : IKEv2 14

3.1.4 Architecture IPsec 16

3.2 IPSEC ET LA MOBILITE 17

3.2.1 Définition de la mobilité et du multihoming 17

3.2.2 MIPv6 et IPsec 17

3.2.3 MOBIKE 19

3.2.4 PF_KEY et MIP: solution dans le "bootstrapping" 20

3.2.5 PF_KEY et MIP: solution "database" 21

3.2.6 HIP 22

4. LA SOLUTION API_IPSEC 24

4.1 DEFINITION DE L'API_IPSEC 24

4.1.1 Interfaces 25

4.1.2 Fonctionnement global 25

4.1.3 La base de donées DB 26

4.1.4 Le protocole AIM: API_IPsec Messages 28

4.1.5 Intégration d'OpenIKEv2 29

4.1.6 Limitations de cette première version 29

4.2 L'API_IPSEC ET LA MOBILITE 30

4.2.1 La Mobility_Application 30

4.2.2 API_IPsec versus MOBIKE 30

4.2.3 Description du scénario de Mobilité et de Multihoming 31

4.3 LE PROTOTYPE 32

4.3.1 Description générale 32

4.3.2 Serveurs Multithread 33

4.3.3 Création de messages. Liste de fonctions 36

4.3.4 Messages pour les applications. Liste de fonctions 39

4.3.5 Traitement des messages pour l'API_IPsec distante 41

4.3.6 La compilation et le debug 42

4.3.7 Prototype de la Mobility_Application 42

4.3.8 Démonstrateur de l'API_IPsec 43

4.4 TESTS ET RESULTATS 43

4.4.1 Test1 : Scénario permanente 44

4.4.2 Test2 : scénario de Mobilité 46

4.4.3 Test 3 : scénario de Multihoming 47

4.4.4 Test d'IKEv2 (strongSwan) 48

4.4.5 Test de MOBIKE (strongSwan) 50

4.4.6 Comparative API_IPsec versus IKEv2 / MOBIKE 51

5. CONCLUSION 53

6. ANNEXES 55

6.1 FONCTIONS ET STRUCTURES DE L'API_IPSEC 55

6.2 COMPILATION : FICHIERS DE CONFIGURATION 55

6.2.1 Liste de commandes pour faire un projet avec « automake » 55

6.2.2 Configure.ac 55

6.2.3 Makefile.am 55

6.3 CONFIGURATION D'IPSEC AVEC « SETKEY » 56

6.4 CONFIGURATION DE « STRONGSWAN » 56

6.4.1 Fichiers et répertoires importants 56

6.4.2 Création de certificats au format X509 56

6.4.3 ipsec.conf 57

7. BIBLIOGRAPHIE 58

8. REFERENCES D'INTERNET 58

Résumé

L'objectif du stage est de mener une étude du protocole IPsec et de développer une API_IPsec pour établir une connexion facile et transparente entre des applications qui s'appuient sur la sécurité de la couche IPsec. Cette API doit également comprendre une gestion de connections IPsec dans un cadre de mobilité et de multihoming. Il est donc nécessaire de développer à priori trois interfaces différentes: Application/API, API/couche-IPsec, API/API-Remote. Pour l'interaction entre couches on utilise un protocole de messages basiques. Enfin, cette étude est dans le cadre du groupe BTNS, un WG de l'IETF qui cherche à établir une sécurité en même temps légère et optimale.

1. France Télécom Resarch & Development

France Télécom - Orange Group est le principal opérateur de télécommunications en France et un des plus importants dans le monde. Actuellement il a environ 191,000 employeurs et il sert presque 174 millions de clients dans le monde, avec une chiffre d'affaires d'entour 52 billion d'euros.

France Télécom R&D - Orange Labs constitue le réseau mondial d'innovation du Groupe. Elle regroupe 5000 collaborateurs, dont 3800 chercheurs répartis dans 15 laboratoires sur trois continents (8 en France et 7 répartis en Europe, Amérique et Asie). Chaque Orange Labs est ainsi intégré à son propre écosystème géographique, lui permettant de favoriser les partenariats et de contribuer et d'anticiper les avancées technologiques et l'évolution des usages partout dans le monde.

Les activités de recherche et de développement de chaque Orange Labs sont structurées en sept centres fonctionnels, lesquels répondent aux domaines qui constituent l'essentiel de la profession d'un opérateur. Ils sont les suivants :

- Residential and Personal Integrated Services (SIRP)

- Business Services (BIZZ)

- Middleware and Advanced Platforms (MAPS)

- Technologies (TECH)

- Core Network (CORE)

- Access Network (RESA)

- International Laboratories (ILAB)

Tous ces Centres de Recherche et de Développement (CRD) sont divisés en laboratoires, oil chacun a plusieurs Unités de Recherche et de Développement (URD).

Le CRD d'Issy-les-Moulineaux (près de Paris) oil je suis en train de faire mon stage est le MAPS, plus concrètement dans le laboratoire de Network and Service Security (NSS). Le laboratoire se concentre sur techniques, applications et protocoles pour protéger la infrastructure, les services, les données critiques et les clients du opérateur contre tout type d'actions hostiles. À cette fin, cryptologues et ingénieurs de réseau travaillent ensemble et partagent ses connaissances.