La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Contrôle d Accès et Hauts Débits Olivier Paul ENST de Bretagne

Présentations similaires


Présentation au sujet: "Contrôle d Accès et Hauts Débits Olivier Paul ENST de Bretagne"— Transcription de la présentation:

1 Contrôle d Accès et Hauts Débits Olivier Paul ENST de Bretagne

2 Plan 1- Introduction 2- Amélioration des performances du contrôle d accès réseau 2-1Problème théorique. 2-2 Amélioration des techniques de classification. 2-3 Distribution des mécanismes. 3- Conclusion. 0, 1/1

3 Introduction n Le contrôle d accès: –Service qui assure une protection contre une utilisation non autorisée de ressources par une entité ou un groupe d entité (ISO). Réseau ClientServeur Firewall 1, 1/6

4 Comment ca marche ? n Le Firewall se situe entre le réseau interne et le réseau externe. 1, 2/6

5 Comment ca marche ? n Les paquets IP sont filtrés au niveau réseau/transport et au niveau application si une passerelle a été configurée. 1, 3/6

6 Comment ca marche ? n Le paquet est envoyé sur le réseau interne. 1, 4/6

7 Quels problèmes ? RéassemblageFragmentation Classification Buffer Filtre n Le processus de classification est un processus gourmand en ressources –Performances faibles. 1, 5/6

8 Quels problèmes ? RéassemblageFragmentation Classification Buffer Filtre n Le processus de classification est généralement ignorant de la QoS –Perturbations importantes de la QoS 1, 6/6

9 Algorithme linéaire n CT : O(n. d), CS : O(n. d), insertion O(1). Politique et PS=C et PD=D alors autorise et PS=C et PD=E alors interdit alors autorise alors interdit Flux A C C C INTERDIT 1, 6/6

10 Le problème de la classification de flux Classificateur Proto Source ports Dest AddressSourceAddress Flags Dest ports If Cond1 and Cond2 and Cond3 then action1 If Cond4 and Cond5 then action2 If Cond6 then action1 Politique de n règles portant sur les d champs Bornes théoriques : n Complexité : O(log n), complexité spatiale : O(n d ). n Complexité spatiale: O(n), complexité : O(log d-1 n). flux composé de d champs n Overmars, Van der Stappen [Journal of Algorithms 96] 2-1, 1/1

11 Améliorations des techniques de classification n Utilisation de mémoires caches. n Définition de nouveaux algorithmes de classification: –Permettant une parallèlisation des traitements. –Utilisant la redondance des politiques de contrôle d accès. 2-2, 1/9

12 Mémoires caches Classificateur logiciel Mémoire Cache Flux Hit Miss Update (LRU) Hit 2-2, 2/9

13 Mémoires Cache n CAM (Content Addressable Memory) CAM Action –Complexité temporelle O(1), Complexité spatiale O(n.d). –32 K entrées (64 bits), 16 ns (sibercore). n SRAM (Static Random Access Memory) SRAM Action –Complexité temporelle O(1)/O(n), Complexité spatiale O(n.d). –32 Mbits, 10 ns (motorola). Fonction de hachage pointeur 2-2, 3/9

14 Mémoires caches n Vitesse de classification très importante –60 Mp/s. n Taille faible –Utilisation fréquente du classificateur logiciel. –Sensible au dénis de service. –Nombre de champ de recherche limité (CAM 255 bits, SRAM fonction de la FH). 2-2, 4/9

15 Parallèlisation du processus de classification n Ex: Lakshman, Stiliadis [SIGCOMM98], CT : O(log(2n+1)), CS : O(d.n 2 )). R0 R1 R2 X & n + 1 tableaux de n champs R1 Log(d) , 5/9 Log(2n+1) +1 Recherche par arbre binaire Flux

16 Parallélisation du processus de classification n Solution générale –Vitesse de classification constante. –Ne dépend pas du type de traffic/de politique. n Vitesse de classification moyenne (1 Mp/s). n Solution hardware uniquement. n Difficulté d implémentation lorsque d augmente. 2-2, 6/9

17 Utilisation de la redondance de la politique de C.A. n Ex: Gupta, McKeown [SIGCOMM99] ET PS=C et PD=D ET PS=D et PD=C ET PS=F et PD=D ET PS=D et PD=F , 7/9

18 Utilisation de la redondance de la politique de C.A. n Ex: Gupta, McKeown [SIGCOMM99], CT : O(1), CS : ?, Insertion 10s A B 0 1 A B C F PS D 01 C F 10 PD D 0 paquet (A,B,F,D) P R Etape 1 Etape 2 Etape , 8/9 R2

19 Utilisation de la redondance de la politique de C.A. n Vitesse de classification importante –30 Mp/s (hardware), 1 Mp/s (software). n Solution non générale –Marche bien pour les politiques des auteurs. –Evolution des politiques ? –Temps de mise à jour (10 s). 2-2, 9/9

20 Distribution du processus de classification n Distribution interne à un équipement. n Distribution sur plusieurs équipements du réseau. n Distribution sur les équipements extrémité. 2-3, 1/5

21 Distribution au sein dun seul équipement n La capacité de classification est multipliée par le nombre de classificateurs Firewall Classificateur Port 0 Port 1 Port 2 Port 3 Port 4 Port 5 2-3, 2/5

22 Distribution sur plusieurs équipements réseau n Nesset, Hummen [NDS98], utiliser les capacités de C.A. des équipts réseaux. Pont Switch Routeur PC 2-3, 3/5

23 Distribution sur les équipements extrémité n Ex: Bellovin [Login99], utiliser les capacités de C.A. des équipts extrémité. Pont Switch Routeur PC 2-3, 4/5

24 Distribution du processus de classification n Performance du service de C.A. –Dépend du degré de distribution. n Amélioration indépendante des algorithmes de classification. n Autres améliorations (contrôle interne…) n Gestion de la politique de C.A. n Intégrité de la politique de C.A. 2-3, 5/5

25 Et l ENSTB dans tout ca ? n Architecture distribuée du C.A. –Contrôle d accès par agents n Distribution de politiques de C.A. –Optimisation du processus de C.A. sur l ensemble du réseau. n Définition d algorithmes de classification –Projet CARAT (Contrôle d Accès et qualité de service dans les Réseaux ATm). –Partenariat CNET, CELAR, ENSTB. –Cartes IFT (CNET), solution générale, pas de parallélisation. –Performances: 1 Mp/s, 53 octets, Insertion 1 ms. 3, 1/2

26 Conclusion n Améliorations des performances de C.A. : Plusieurs voies pas forcément divergentes (combinaisons possibles). n Comment juger un outil de contrôle d accès : –Mp/s. –Nombre de champs utilisables. –Nombre de règles pouvant être analysées. –Temps d insertion. 3, 2/2


Télécharger ppt "Contrôle d Accès et Hauts Débits Olivier Paul ENST de Bretagne"

Présentations similaires


Annonces Google