2002 dga sdh securite presentation

7/23/2019 2002 DGA SDH Securite Presentation

1/25


2/25

SDH/SONET ETSCURIT

Jean-Jacques Puig

[email protected]

Doctorant

I.N.T

Nous utilisons tous les jours des rseaux SDH ou SONET sans en avoir conscience,notamment via le rseau tlphonique.

Cette prsentation rappellera, dans un premier temps, l'origine de la technologieSDH, avant d'en aborder lesproblmatiques de scurit.

Lascurit des lmentsde rseau SDH (NE), ainsi que celle des communicationsentre ces lments constitueront alors les points clefs de notre tude.

SDH/SONET et Scurit

Prsentation C.El.Ar - 25 Juin 2002 - 2


3/25

SDH/SONETETSCURIT

SDH

Scurit des NE

Scurit des Communications SDH

SDH/SONET et Scurit



4/25

SDH

Origine de SDH

Couches de SDH

Trame SDH

Synchrone ?

Utilisation de SDH

Normes

SDH/SONET et Scurit



5/25

ORIGINE DE SDH

Rseaux Tlphoniques - PDH

Trame E1

Hirarchie PDH - SDH

SDH/SONET et Scurit



6/25

COUCHES DE SDH

Liens, Sections, Lignes & Conduits

Couches SDH

SDH/SONET et Scurit



7/25

TRAME SDH

La trame SDH ``enveloppe'' des trafics

Trame SDH STM-1

SDH/SONET et Scurit



8/25

SYNCHRONE ?

La synchronisation estl'illusion de la simultanit

G.823/824: tolrance de 18s max sur les entres du NE (clock & data).

La synchronisation peut se faire:

- par une horlogecentralise(rseau synchrone),- par des horlogeslocalesaux NE (rseau plsiochrone).

SDH/SONET et Scurit



9/25

UTILISATION DE SDH

Le ``vide'' est plus cher que le ``plein''

Constatations :la tlphonie...requiert unebande passante constantelesarrives d'appelssontmodlisables

dans un rseau synchrone,toute la place n'est pas exploite

SDH achemine:

des donnes tlphoniques issues de la hirarchie plsiochrone (PDH)des tramesPPP/HDLC(POS)

des cellulesATM

SDH/SONET et Scurit



10/25

NORMES

Dbits Normaliss

Normes IUT-T:

- G.707- G.708

- G.709

SDH/SONET et Scurit



11/25

SDH/SONETETSCURIT

SDHScurit des NE


SDH/SONET et Scurit



12/25

SCURIT DESNE

Le NSIFContrle d'Accs

Pertes de Synchronisation

SDH/SONET et Scurit



13/25

LENSIF

Le NSIF tablit des recommandationsLe NSIF se concentre notamment sur SONET, et dispose d'un groupe de scurit.

Trois documents ont t approuvs ce jour:

1 NSIF-038-2000 (Zone 51)

2 NSIF-037-2000 (13/04/00)

3 NSIF-040-2001 (23/08/01)

Coordonnes NSIF:

- http://www.atis.org/atis/sif/sifsecurity.htm

- smtp://[email protected] [subscribe nsif-security]

SDH/SONET et Scurit



14/25

CONTRLE D 'ACCS

Recommandations NSIFSystme actuel: couples (Login,********) par NE.

Objectifs du NSIF:

- Administration Centralise (PKI)

- Gestion avance des utilisateurs (groupes, politiques d'accs, priodes de va-lidit)

- Droits sur les ressources utilisateurs / systmes

- Audit, traabilit, alarmes

- Intgrit et confidentialit des donnes stockes

- Outils d'administration- Notice lgale

SDH/SONET et Scurit



15/25

PERTES DE SYNCHRONISATION

Les quipements dits ``synchrones'' nesont pas synchrones.

Il y are-synchronisation sur le flux.Un utilisateur ne doit pas pouvoirleurrerle systme de synchronisation

Pour cette raison, le RFC 1619 (PPP over SONET/SDH) a volu vers leRFC 2615

Un systme chan de brouillage des donnes est ncessaire (X^43+1 par d-faut)

SDH/SONET et Scurit



16/25

SDH/SONETETSCURIT

SDHScurit des NE


SDH/SONET et Scurit



17/25

SCURIT DESCOMMUNICATIONS SDH

EcouteChiffrement

Brouillage

VPN ?

SDH/SONET et Scurit



18/25

ECOUTE

Intercepter des communications sur SDH

Les mdias utiliss par SDH:

- Fibre Optique

- Cble coax CATV 75 Ohms

- Radio

``POD''

SDH/SONET et Scurit



19/25

CHIFFREMENT

Dsquilibre entre la recherche de systmes de chiffrement pour SDH et la productionde tels systmes.

Obstacles:

- Contraintes de temps

- Choix des standards cryptographiques

- Quel intrt ?

- Peu d'UNI SDH

SDH/SONET et Scurit



20/25

BROUILLAGE

La bande passante disponible permet:

- de rpartir les bits utiles d'information dans une enveloppe,

- d'insrer du ``bruit''.

Faut-il chiffrer les pointeurs ?

SDH/SONET et Scurit



21/25

VPN ?

SDH permet de construire des tunnels avec un niveau de scurit suffisant pour la ma-jorit des utilisateurs.

Un problme se pose quand l'oprateur n'est pas de confiance.

Un utilisateur (dpourvu d'UNI ou de NNI) doit alors appliquer sa proprecouche de protection.

Un peer peut avoir besoin de systmes de chiffrement SDH.

SDH/SONET et Scurit



22/25

SDH/SONET ETSCURIT

En conclusion:- La scurit de SDH est une question rcente.

- Des standards n'ont pas encore merg.

- Les efforts collectifs sont faibles.

- SDH a des contraintes fortes.

- SDH s'intresse peu ou pas la scurit de bout en bout.

Contact:Jean-Jacques Puig

Email: [email protected]

Homepage: http://www-lor.int-evry.fr/~puig/

Statut: Doctorant

Organisation: I.N.T

SDH/SONET et Scurit



23/25

SDH/SONET ETSCURIT

Des questions ?

SDH/SONET et Scurit



24/25

SDH/SONET ETSCURIT

Merci pour votre attention !

Bonne fin de confrence.

SDH/SONET et Scurit



25/25

2002 dga sdh securite presentation

Documents