Contrôle d’accès et qualité de servicedans les réseaux basés sur ATM

Olivier Paul

Niveau ATM/AAL/SNAP non considéré. Quels paramètres prendre en compte ?

Niveau Réseau/Transport. Traitement simple mais concernant un grand nombre de paquets. Pas de notion de QoS.

Niveau Application. Traitements assez complexes. Pas de notion de QoS.

Pas de contrôle d’accès ATM.

Performances: Limité actuellement à 100 Mb/s.

Pas de QoS

Le Firewall, outil actuel de contrôle d’accès

Il se place entre un réseau à protéger et un réseau non contrôlé et examine les données échangées par les équipements situés de part et d’autre. Pour cela il reconstruit les PDU échangés et les bloque jusqu’à ce qu’il soit sûr ce ceux-ci sont inoffensifs.

Comment résoudre ces problèmes ?

Proxy Proxy

Niveau application

Niveau Transport

Niveau Réseau

Module deFiltrage des

Paquets

Niveau ATM/AAL/SNAP

Outil simple.

Outil facile à gérer.

Outil sûr.

Performant jusqu’à 100 Mb/s.

Outil riche en fonctionnalités.

Nombreux fabricants, prix faible.

Très répandu.

Amélioration des performances

Utilisation de Circuits spécialisés Distribution

Implémentation des mécanismes de contrôle d’accès de manière physique sous forme de circuits spécialisés et intégration de ceux-ci dans un équipement du réseau.

Performances (100 Mb/s ... qques Gb/s).

Facilité de gestion.

Solution unique au niveau cellule.

Fonctionnalités pauvres au niveau IP (limitation aux adresses IP et ports TCP/UDP).

Fonctionnalités très pauvres au niveau ATM (adresses ATM).

Distinction des mécanismes de contrôle d’accès et distribution dans les équipements du réseau.

Performances.

Meilleure sécurité.

Difficultés de gestion.

Modifications importantes.

Impact sur les performances des systèmes modifiés.

Limitation des perturbations

Asynchronisme

Utilisation de mécanismes de contrôle d’accès asynchrones. Contrôle sur une copie des flux ou à partir de variables d’état puis coupure de la connexion (soit TCP soit ATM) dans le cas où les flux sont dangereux.

Pas d’impact sur la QoS puisque le flux n’est pas stoppé.

Sécurité non assurée puisqu’il peut y avoir un intervalle de temps entre le passage du flux et son contrôle.

Les flux non connectés (i.e. cellules) ne peuvent être filtrés.

Classification des flux

On sépare les flux en différentes classes en fonction de leurs requètes en terme de QoS. Au moyen de cette classification on peut appliquer des traitements différenciés aux flux.

Limitation des impacts sur la QoS.

La multiplication des formes de traitement provoque la complexification du système.

Etude des paramètres de contrôle d’accès

On étudie les paramètres pouvant être pris en compte afin de réaliser un contrôle d’accès au niveau ATM (ATM/AAL/Signalisation). Pour cela on s’intéresse:

• Aux paramètres pouvant décrire les communications. Comparaison avec les paramètres utilisés dans outils de contrôle d’accès pour les réseaux existants.

• Aux paramètres utilisés par les applications/utilisations existantes. Comment est il possible de caractériser ces utilisations ?

A partir de ces informations on peut classifier les paramètres en fonction de leur importance et de la difficulté à implémenter un outil permettant de les contrôler.

Amélioration du contrôle d’accès au niveau ATM

Analyse des problèmes

Type de trafic/Couche protocolaire

ATM Cellule ATM Sig. Transport Application

Avec requète de QoS Classe 1 Classe 2 Classe 3 Classe 4Sans requète de QoS Classe 5 Classe 2 Classe 6 Classe 7

• Niveau de sécurité. • Amélioration en terme de performances.• Amélioration en terme de respect de la QoS.• Difficulté de gestion/utilisation.• Difficulté d’implémentation/coût.

Quels facteurs utiliser pour choisir ?

Pas d’outil Problèmes de performance Problèmes de performance et de QoS

Solutions en cours de réalisation

Classe RéalisationsClasse 1,2,5 Contrôleur d’accès ATM (Cellule/Signalisation) basé sur une carte d’analyse

de trafic à haut débit (CNET)Classe 3 Utilisation de modules distribués de contrôle d’accés de niveau transport.Classe 4 Agents distribués de contrôle d’accés asynchrone au niveau application pour

des applications ayant des requètes de QoS. Modification des applicationsafin qu’elles fournissent des informations aux agents.

Classe 6 Utilisation de modules distribués de contrôle d’accés de niveau transport.Classe 7 Utilisation de contrôleurs de niveau application (proxies)Hors Classe Développement de mécanismes de gestion efficace des éléments distribués

Classe/Technique Spécialisation Distribution Asynchronisme Classe 2 Outil Outil Classe 1,5 Outil Outil Classe 3 Performances et QoS (C.A. sur une

partie des paramètres de C.A.) Performances et QoS QoS

Classe 4 Performances QoS Classe 6 Performances (C.A. sur une partie

des paramètres de C.A.) Performances

Classe 7 Performances

Contrôleur d’accès ATM

Réseauexterne

Réseauinterne

Switch ATM

Carte d’analyse

pcContrôleur de sig.

Sig.

Niveau Cellule: carte d’analyse/filtrage:• Multi-bit trie. • 622Mb/s-2,5Gb/s.• Perturbation : 100aine ns.

Niveau Signalisation: logiciel de filtrage:• Dérivation au niveau du switch.• Analyse logicielle.• Configuration de la carte d’analyse.

Agents de contrôle d’accès asynchrones

Informations décrivant les applications

ApplicationApplicationApplication

Système d’exploitation

Agent de contrôle

Principe:• Utiliser les informations fournies à l’OS par les applications. • Etendre ces informations.

Développer un agent:• Contrôlant les informations fournies.• Interrompant les applications non conformes.

Gestion du contrôle d’accès

Assurer la gestion des éléments de contrôle d’accès distribués :• De manière automatique (la distribution des fonctions doit être transparente).• De manière performante. (les outils doivent être configurés de manière optimale).• De manière sûre (confidentialité, authentification et intégrité des données).

Politique de C.A.

Agents placés sur les équipements.Protocole de configuration: SNMPv2-v3.Utilisation de modèles des capacités des agents et de la topologie.Langage de configuration.