Literatura académica sobre el tema "TCP/IP (protocole de réseaux d'ordinateurs) – Mesures de sûreté"

The goal of this thesis has been to propose different solutions in order to manage user mobility into 802. 11 networks. In this thesis, we have developed two architectures. At first, we have introduced a secured architecture in order to manage roaming services of mobile nodes in wireless IP networks. The goal of this architecture SMMArc (Service Mobility Management Architecture) was to offer different services according to user profile. The second architecture is focused on the management of persistent TCP connections when mobile node makes handover. This architecture, ATHOMIC (Architecture managing Tcp Handoff Over Mobile Ip Connections) reduces the probability of TCP packet loss when the mobile node changes of IP domains
Le but de cette thèse a été l'étude et la proposition de solutions pour gérer la mobilité de l'utilisateur dans des réseaux utilisant le standard IEEE 802. 11. Dans cette thèse, nous avons développé deux architectures. Dans la première, nous avons introduit une architecture sécurisée pour gérer le roaming des nœuds mobiles dans les réseaux sans fil. Le but de cette architecture SMMArc (Service Mobility Management Architecture) a consisté à offrir des services à l'utilisateur d'après son profil. La deuxième architecture a été développée de manière à gérer des connexions TCP lorsque les nœuds mobiles changent de domaine en cours de communication. Cette architecture ATHOMIC (Architecture managing Tcp Handoff Over Mobile Ip Connections) a permis de réduire la probabilité de perte des segments lorsque les nœuds mobiles changent de domaines IP

L'usage croissant d'Internet comme moyen d'interconnexion à moindre coût et universellement accessible pose la question de la protection des flux de données au contenu sensible. Cette protection passe par la sécurisation des infrastructures de communication et par l'application de techniques de chiffrement. La configuration des éléments réseaux devant assurer la mise en oeuvre de la protection des flux est une tâche longue, répétitive et rigoureuse. La moindre erreur peut entraîner des failles de sécurité voire de dysfonctionnement du réseau. Des systèmes comme les réseaux à base de politiques apportent un début de réponse pour faciliter un déploiement automatisé dans la limite du domaine administratif. Cependant, la frontière que constitue le domaine ainsi que l'absence de contrôle d'un administrateur sur un domaine étranger sont des freins au déploiement de la sécurité pour les flux de données transorganisationnels. De plus la tendance actuelle à la mobilité des équipements et des utilisateurs rend obsolète la longue et périlleuse configuration statique des équipements. La présente thèse expose une infrastructure de déploiement d'environnements de sécurisé pour les flux de données, en répondant aux trois problèmes principaux : une politique de haut niveau qui masque les limites du domaine, un système de distribution inter-domaines qui se charge automatiquement des communications transorganisationnelles et enfin un système de dérivation automatisé de la politique de haut niveau sur les équipements des domaines concernés. Un prototype de cette infrastructure est présenté afin de montrer la faisabilité de la solution
The growing use of internet as an inexpensive and widely available interconnection means elevate the security concerns of sensible content data flow. This security can be done by protecting the communication infrastructure and enforcing some cryptographic techniques. Configuration of the network elements that have to ensure the enforcement of the flow security is a long, repetitive and rigorous task. Any error can involve security faults even of dysfunction of the network. Systems, as the policy based networks one, form a starting point to facilitate a automatic deployment within the border of an administrative domain. However, the domain boundary as well as the absence of administrative control on a foreign domain limits the deployment of security for trans-organizational data flows. Moreover, the current tendency to equipment and users mobility makes the long and perilous static equipment configuration obsolete. .

La messagerie asynchrone s’est imposée comme un moyen de communication incontournable, autant dans le cadre privé qu’organisationnel. Pourtant, elle demeure un vecteur d’attaque privilégié par l’exploitation de modes d’attaques mêlant ingénierie sociale et structures protocolaires. Cette thèse étudie dans un premier temps les mécanismes et extensions concourant à la sécurisation des protocoles de messagerie asynchrone. À partir d’une classification des messageries interpersonnelles, elle présente les principes modernes de sécurisation mis en œuvre dans les alternatives à l’e-mail. Elle décrit notamment les échanges nécessaires à la mise en place de clés éphémères propres aux échanges synchrones. Une deuxième contribution majeure est la description de cas d’usages actualisés de la messagerie asynchrone, fournissant une cartographie des besoins en sécurisation en fonction de contextes variés. Ces travaux introduisent la nécessité de niveaux de sécurisation adaptables pour s’adapter aux contextes, en soulignant des fonctions parfois contradictoires d’un même principe de sécurité (tel que la signature éphémère ou non-répudiable). Un catalogue des exploitations existantes adossées aux ambigüités d’interprétation est réalisée à partir de la littérature récente. Il permet ensuite d’envisager les menaces qui pèsent aujourd’hui sur la messagerie et d’en déduire les risques afférents. Dans un troisième temps, des aménagements de la messagerie sont imaginés, en s’écartant progressivement des tropismes actuels pour pouvoir prendre en compte les évolutions des besoins et des technologies. Nos travaux nous amènent alors à introduire un mécanisme permettant de maintenir la signature S/MIME en cas de transfert de message par un intermédiaire utilisateur, mettant en relief la complexité de l’écosystème sécuritaire. La volonté de rapporter l’utilisation de la sécurité au niveau de l’utilisateur nous conduit aussi à concevoir un mécanisme implémentant des politiques avant émission. Par la suite, le dispositif PACMAIL offrant une pseudonymisation des émetteurs est envisagé. Il introduit notamment le concept clé de distinction identification / authentification dans l’architecture de messagerie. Finalement, ces travaux convergent vers un nouveau modèle de messagerie asynchrone exploitant le SMTP comme canal de contrôle, et invitant à s’orienter vers un protocole alternatif pour la gestion des contenus
Asynchronous messaging has established itself as an essential means of communication, both in the private and organizational contexts. However, it remains a privileged attack vector by the exploitation of attack modes combining social engineering and protocol structures. This thesis first studies the mechanisms and extensions contributing to the security of asynchronous messaging protocols.Based on a classification of interpersonal messaging, it presents the modern security principles implemented in alternatives to e-mail. In particular, it describes the exchanges necessary for the implementation of ephemeral keys specific to synchronous exchanges.A second major contribution is the description of updated use cases of asynchronous messaging,providing a mapping of security needs according to various contexts. This work introduces the needfor adaptable security levels to adapt to contexts, by highlighting sometimes contradictory functions of the same security principle (such as the ephemeral or non-repudiable signature). A catalog of existing exploitations backed by ambiguities of interpretation is produced from recent literature. It then allows us to consider the threats that currently weigh on messaging and to deduce the related risks. In a third step, messaging adjustments are imagined, gradually moving away from current tropisms to be able to take into account changes in needs and technologies. Our work then leads us to introduce a mechanism to maintain the S/MIME signature in the event of messagetransfer by a user intermediary, highlighting the complexity of the security ecosystem. The desire to report the use of security at the user level also leads us to design a mechanism implementing policies before transmission. Subsequently, the PACMAIL device offering pseudonymization of transmitters is considered.It notably introduces the key concept of identification/ authentication distinction in the messagingarchitecture. Finally, this work converges towards a new asynchronous messaging model using SMTP as a control channel, and inviting to move towards an alternative protocol for content management

Au cours des dernières années, l'évolution rapide des réseaux a provoqué une explosion de la diversité et du nombre des équipements gérés et, par conséquent, du nombre de plateformes de supervision de réseaux. Chacune de ces plateformes induit un environnement de gestion à la fois clos de part la spécificité de son architecture et de son protocole de communication mais également non isolé de part la nature des ressources gérées. En effet, bien qu'hétérogènes, les modèles de données de ces plateformes se recouvrent au moins partiellement. Il s'ensuit un fort problème de sécurité puisque chacune de ces plateformes de supervision met en œuvre sa propre architecture de sécurité avec ses paramètres associés. Le problème apparaît également au sein d'une même plateforme qui autoriserait plusieurs modèles de sécurité ou plusieurs protocoles sous-jacents. Jusqu'à maintenant, il n'y a pas eu de véritable réflexion sur les conséquences de cet environnement et les solutions envisageables. Dans cette thèse, nous proposons des architectures inter-plateformes de distribution automatique des droits d'accès de façon à limiter les différences de permissions et aboutir à une meilleure cohérence des politiques de sécurité. Nous définissons également un modèle de vérification des droits d'accès pour assurer une cohérence locale au sein d'un même équipement. Ce modèle exprime dans un référentiel commun des politiques hétérogènes de façon à en extraire les différences de permissions. Nous avons également étendu le protocole Netconf avec un modèle de contrôle d'accès basé sur les rôles. Cette proposition a été implantée et a donné lieu à étude de l'impact des règles d'accès et des services de sécurité mis en œuvre sur les performances.

Ces dernières années, le domaine du dépannage réseau a suscité un intérêt particulier de la part des chercheurs en raison de la complexité et de l’importance de cette tâche. Le travail présenté dans cette thèse se concentre sur l’automatisation du dépannage réseau à l’aide de mesures de performance extraites des captures de paquets. La première contribution de cette thèse réside dans l’extraction de caractéristiques permettant d’identifier la cause fondamentale d’une anomalie en analysant des traces de paquets TCP montrant des connexions médiocres. Nous avons classé quatre causes de dégradation fréquemment observées : les problèmes de transmission, les problèmes de congestion, les problèmes de gigue et les limitations d’application. La deuxième contribution de cette thèse réside dans le développement d’une méthode automatisée pour détecter l’instant de sortie de l’état Slow-Start. L’importance de cette méthode réside dans le gain de temps précieux dans l’analyse des problèmes réseau, étant donné que l’état Slow-Start est un indicateur clé pour le diagnostic des défauts. La troisième contribution de cette thèse consiste en l’identification de l’algorithme de contrôle de congestion BBR. L’objectif principal est de détecter si un contrôle de l’envoi des paquets (’pacing’) est utilisé dans une connexion TCP. Cette méthode repose sur la modélisation de la distribution de la durée de l’inter-paquet pendant l’état Slow-Start. L’objectif est de reconnaître les distributions monomodales de l’inter-paquet dans le cas de BBR par rapport aux distributions à deux composantes mélangées dans le cas de CUBIC
In recent years, the field of network troubleshooting has garnered significant attention from researchers due to the complexity and importance of this task. The work presented in this thesis focuses on automating network troubleshooting using performance metrics extracted from packet captures. The first contribution of this thesis lies in extracting features to identify the root cause of an anomaly by analyzing TCP packet traces with bad performance. We have categorized four frequently observed causes of degradation: transmission problems, congestion problems, jitter problems, and application-limited problems. The second contribution of this thesis involves developing an automated method to detect the moment of exiting the Slow-Start state. The significance of this method lies in saving valuable time in the analysis of network degradation, as the Slow-Start state serves as a key indicator for fault diagnosis. The third contribution of this thesis revolves around identifying the BBR congestion control algorithm. The primary goal of our approach is to detect whether packet pacing is employed in a TCP connection. This method relies on modeling the distribution of inter-packet duration during the Slow-Start state. The objective is to distinguish unimodal distributions of inter-packet intervals in the case of BBR compared to mixed two component distributions in the case of CUBIC