« Study of Mechanisms Ensuring Service Continuity for IKEv2 and IPsec Protocols».

« Study of Mechanisms Ensuring Service Continuity for IKEv2 and IPsec Protocols».

Soutenance de thèse de doctorat
Par M. Daniel PALOMARES
Du Département RST- Télécom SudParis – EDITE

Jeudi 14 Novembre 2013 à 10h en salle G09

Composition du Jury:

– Monsieur BONNIN Jean-Marie, Professeur HDR, Telecom Bretagne, Rapporteur.

– Monsieur CARLE Georg, Professeur, Department of Computer Science University of Tübingen, Rapporteur.
– Monsieur MIGAULT Daniel, Ingénieur Recherche, Orange Labs, Examinateur.

– Monsieur PUJOLLE Guy, Professeur HDR, Université Pierre et Marie Curie – Paris 6 LIP6, Examinateur.

– Monsieur COMBES, Jean-Michel, Ingénieur Recherche, Orange Labs, Examinateur.

– Madame LAURENT, Maryline, Professeur HDR, Télécom SudParis – Département RST, Directrice de Thèse.


Abstract:

During 2012, the global mobile traffic represented 70% more than 2011. The arrival of the 4G technology introduced 19 times more traffic than non-4G sessions, and in 2013 the number of mobile-connected to the Internet exceeded the number of human beings on earth. This scenario introduces great pressure towards the Internet service providers (ISPs), which are requested to ensure access to the network and maintain the QoS. At short/middle term, operators will rely on alternative access networks for maintaining the same performance characteristics. Thus, the traffic of the clients might be offloaded from RANs to some other available access networks. However, the same security level is not ensured by those wireless access networks. Femtocells, WiFi or WiMAX (among other wireless technologies), must rely on some mechanisms to secure the communications.

Operators are mainly using IPsec to extend a security domain over untrusted networks. This introduces new challenges in terms of performance and connectivity for IPsec. This thesis concentrates on the study of the mechanism considering to improve the IPsec protocol in terms of continuity of service.

The continuity of service, also known as resilience, becomes crucial when offloading the traffic from RANs to other access networks. This is why, we first concentrate our effort in defining the protocols ensuring an IP communication: IKEv2 and IPsec. Then, we present a detailed study of the parameters needed to keep a VPN session alive, and we demonstrate that it is possible to dynamically manage a VPN session between different gateways. Some of the reasons that justify the management of VPN sessions is to provide high availability, load sharing or load balancing features for IPsec connections. These mechanisms increase the continuity of service of IPsec-based communication. For example, if for some reasons, a failure occurs to a security gateway, the ISP should be able to overcome this situation and to provide mechanisms to ensure continuity of service to its clients.

Some new mechanisms have recently been implemented to provide High Availability over IPsec. The open source VPN project, StrongSwan, implemented a mechanism called ClusterIP in order to create a cluster of IPsec gateways. We merged ClusterIP with our own developments in order to define two architectures: High Availability and Context Management over Mono-LAN and Multi-LAN environments. We called Mono-LAN those architectures where the cluster of security gateways is configured under a single IP address, whereas Multi-LAN concerns those architectures where different security gateways are configured with different IP addresses.

Performance measurements throughout the thesis show that transferring a VPN session between different gateways avoids re-authentication delays and reduces the CPU consumption and the computing effort by cryptographic materials. From an ISP point of view, this could be used to avoid overloaded gateways, and enable load redistribution, better network performances, improvements of the QoS, etc. The idea is to allow a peer to enjoy the service continuity while maintaining the same security level that was initially proposed.


Résumé en français:

En 2012, le trafic mobile mondial représentait 70% de plus qu’en 2011. L’arrivée de la technologie 4G a multiplié par 19 le volume de trafic non 4G, et en 2013 le nombre de mobiles connectés à l’Internet a dépassé le nombre d’êtres humains sur la planète. Les fournisseurs d’accès Internet (FAI) subissent une forte pression, car ils ont pour obligations d’assurer à leurs clients l’accès au réseau et le maintien de la qualité de service. À court/moyen terme, les opérateurs doivent délester une partie de leur trafic sur des réseaux d’accès alternatifs afin de maintenir les mêmes caractéristiques de performances. Ainsi, pour désengorger les réseaux d’accès radio (RAN), le trafic des clients peut être préférentiellement pris en charge par d’autres réseaux d’accès disponibles. Notons cependant que les réseaux d’accès sans fil offrent des niveaux de sécurité très différents. Pour les femtocells, WiFi ou WiMAX (parmi d’autres technologies sans fil), il doit être prévu des mécanismes permettant de sécuriser les communications.

Les opérateurs peuvent s’appuyer sur des protocoles (tels que IPsec) afin d’étendre un domaine de sécurité sur des réseaux non sécurisés. Cela introduit de nouveaux défis en termes de performances et de connectivité pour IPsec. Cette thèse se concentre sur l’étude des mécanismes permettant de garantir et améliorer les performances du protocole IPsec en termes de continuité de service.

La continuité de service, aussi connu comme résilience, devient cruciale lorsque le trafic mobile est dévié depuis un réseau d’accès RAN vers d’autres réseaux d’accès alternatifs. C’est pourquoi nous nous concentrons d’abord dans l’ensemble de protocoles assurant une communication IP: IKEv2 et IPsec. Ensuite, nous présentons une étude détaillée des paramètres nécessaires pour maintenir une session VPN, et nous démontrons qu’il est possible de gérer dynamiquement une session VPN entre différentes passerelles de sécurité. L’une des raisons qui justifient la gestion des sessions VPN est d’offrir de la haute disponibilité, le partage de charge ou l’équilibrage de charge pour les connexions IPsec. Ces mécanismes ont pour finalité d’augmenter la continuité de service de sessions IPsec.

Certains nouveaux mécanismes ont été récemment mis en oeuvre pour assurer la haute disponibilité sur IPsec. Le projet open source VPN, StrongSwan, a mis en place un mécanisme appelé ClusterIP afin de créer un cluster de passerelles IPsec. Nous avons fusionné cette solution basée sur ClusterIP avec nos propres développements afin de définir deux architectures : une architecture permettant la Haute Disponibilité et une deuxième architecture présentant la gestion dynamique d’un contexte IPsec. Nous avons défini deux environnements : le Mono-LAN où un cluster de noeuds est configuré sous une même adresse IP unique, et le Multi-LAN où chaque passerelle de sécurité dispose d’une adresse IP différente.

Les mesures de performance tout au long de la thèse montrent que le transfert d’une session VPN entre différentes passerelles évite les délais supplémentaires liés à la ré-authentification et réduit la consommation CPU, ainsi que les calculs par le matériel cryptographique. D’un point de vue FAI, le transfert de contexte IPsec/IKEv2 pourrait être utilisé pour éviter la surcharge des passerelles, et permettre la redistribution de la charge, de meilleures performances du réseau ainsi que l’amélioration de la qualité de service. L’idée est de permettre à un utilisateur de profiter de la continuité d’un service tout en conservant le même niveau de sécurité que celui initialement proposé.