ENST Bretagne Le contrôle daccès dans les réseaux ATM Olivier Paul Thèse de doctorat de lUniversité de Rennes I ENST Bretagne Département RSM
27 février 2001ENST Bretagne 2 Agenda Introduction Paramètres de contrôle daccès Architectures de contrôle daccès Gestion du contrôle daccès Conclusion
27 février 2001ENST Bretagne 3 Le contrôle d accès Service qui assure une protection contre une utilisation non autorisée de ressources par une entité ou un groupe dentités (ISO). Réseau ClientServeur Firewall Deny any mput, put, cd, ls access-list 101 permit tcp any gt eq 80 Action Adresses source et destination Protocole Application ou service utilisé
27 février 2001ENST Bretagne 4 Les réseaux ATM Spécifiés pour le transport de flux de natures variées. Permettent aux applications de demander au réseau des garanties de qualité de service. Débits « élevés ». Orientés connexion. Information transportée sous forme de cellules. Usages: –Direct: Quelques applications ATM natives (ANS, VoD). –Indirect: IP over ATM (IPOA, LANE, MPOA, MPLS): usage le plus courant.
27 février 2001ENST Bretagne 5 Firewall non applicatif Réassemblage Fragmentation Classement Tampon Firewall Bus / Matrice de Commutation Altération de la Qualité de Service (perte/délai) est fonction de lutilisation du tampon. Le processus de classement et les opérations de copie sont considérés comme les points de blocage en terme de performance.
27 février 2001ENST Bretagne 6 Le problème du classement des flux Classeur de flux Proto Ports Source Adresse Dest Adresse Source Drap. Ports Dest. If Cond1 and Cond2 and Cond3 then action1 If Cond4 and Cond5 then action2 If Cond6 then action1 n règles portant sur d champs Bornes théoriques: Comp. Temporelle : O(log n) Comp. Spatiale : O(n d ). Comp. Temporelle: O(n) Comp. Spatiale: O(log d-1 n). d champs Lakshman & al. [ACM SIGCOMM 98]
27 février 2001ENST Bretagne 7 Firewall non applicatif Réassemblage Fragmentation Classement Tampon Firewall Bus / Matrice de Commutation Altération de la Qualité de Service (perte/délai) est fonction de lutilisation du tampon. Le processus de classement et les opérations de copie sont considérés comme les points de blocage en terme de performance. Vis à vis des réseaux ATM: DébitQualité de Service Paramètr es
27 février 2001ENST Bretagne 8 Agenda Introduction Paramètres de contrôle daccès Architectures de contrôle daccès Gestion du contrôle daccès Conclusion
27 février 2001ENST Bretagne 9 Paramètres de contrôle daccès Paramètres ATM Paramètres TCP/IP Déjà abondamment décrits Informations dadressage Analyse des informations fournies par le modèle ATM Existan t Nouvelles attaques Analogies avec les informations utilisées dans les protocoles existants Nouveaux paramètres de contrôle daccès ATM Catalogue classé des paramètres de contrôle daccès ATM Analyse des utilisations normalisées Profils de contrôle daccès par application
27 février 2001ENST Bretagne 10 Paramètres de contrôle daccès ATM Informations dadressage Informations fournies par la signalisation Descripteurs de service Descripteurs de qualité de Service Nouvelles informations dadressage Informations « physiques » Informations fournies par les en-têtes des cellules Identificateurs de connexion Type de flux Existan t
27 février 2001ENST Bretagne 11 Agenda Introduction Paramètres de contrôle daccès Architectures de contrôle daccès. Gestion du contrôle daccès Conclusion
27 février 2001ENST Bretagne 12 Architectures de contrôle daccès Deux problèmes principaux à résoudre: Performance du processus de classement Garantie de la QoS Architecture de contrôle daccès par agents Architecture de contrôle daccès centralisée Distribution des calculs Contrôle non bloquant Processus de classement rapide Processus de classement à délai faible et borné Objectif: Fournir un service de contrôle daccès: –Pour les utilisations natives ATM. Utilisation des nouveaux paramètres de contrôle daccès. – Pour les utilisations de type IP/ATM. Utilisation des paramètres de contrôle daccès TCP/IP classiques.
27 février 2001ENST Bretagne 13 Contrôleur Politique Architecture de contrôle daccès par agent Amélioration des performances Contrôleur Réseau ATM Interne Réseau ATM Externe Politique Processus de contrôle daccès concurrents Schuba [Ph.D. Thesis Purdue University 97]
27 février 2001ENST Bretagne 14 Architecture de contrôle daccès par agent Amélioration des performances Contrôleur Réseau ATM Interne 1 Réseau ATM Externe Contrôleur Réseau ATM Interne 2Réseau ATM Interne 3 Politique Spécialisation du contrôle daccès par segmentation de la politique
27 février 2001ENST Bretagne 15 Architecture de contrôle daccès par agent Lamélioration règle telle le problème du respect de la QoS ? Si lon peut sassurer – Que lamélioration est toujours suffisante pour répondre aux débits soumis. – Que le processus de classement est à délai faible et borné. Alors: Oui. Est-ce le cas des outils existants de contrôle daccès ? : Non. Il convient donc dassurer ce respect dune autre manière. Notre Idée: Un processus de contrôle daccès non bloquant La décision de contrôle daccès se prend de manière indépendante du passage du flux sur le réseau.
27 février 2001ENST Bretagne 16 Architecture de contrôle daccès par agent Si lon ne bloque pas le flux, où trouver linformation le décrivant ? > Dans les piles protocolaires des éléments du réseau. Les équipements réseau gardent des informations sur les communications en cours dans leurs piles protocolaires. ATM End System 1 ATM Switch ATM End System 2 External network Line 1 Line 3 Il est possible daccéder à ces informations au moyen de programmes externes. E. P. Line 2 ATM Switch Nous avons montré que la plupart des informations utiles au contrôle daccès peuvent y être trouvées.
27 février 2001ENST Bretagne 17 ATM End System 1 ATM Switch ATM End System 2 External network Line 1 Line 3 Agent Line 2 ATM Switch Architecture de contrôle daccès par agent Lidée de base est de modifier un tel logiciel et dy introduire un processus de contrôle daccès. Il les compare ensuite à une description des communications autorisées. Ce logiciel appelé agent lit périodiquement les valeurs décrivant les communications dans les piles protocolaires. Si la communication est interdite, lagent interagit avec la pile protocolaire pour interrompre celle-ci.
27 février 2001ENST Bretagne 18 Conclusions Amélioration du C.A. ATM. Amélioration des performances. Garantie du respect de la QoS. Solution conforme à lesprit ATM. Architecture Asynchrone Distribuée Amélioration des performances difficiles à évaluer. Sécurité non garantie. Gestion des agents de C.A.
27 février 2001ENST Bretagne 19 Agenda Introduction Paramètres de contrôle daccès Architectures de contrôle daccès – Architecture de contrôle daccès par agent. – Architecture de contrôle daccès centralisée. Algorithme de classement. Cartes IFT. Gestion du contrôle daccès Conclusion
27 février 2001ENST Bretagne 20 Algorithmes de Classement déterministes Possibilité de borner le temps de classement pour un flux et une politique donnés Algorithmes pour les politiques Statiques –Rapides –Utilisent les redondances pouvant être trouvées dans les politiques de contrôle daccès –Complexités spatiales et temporelles non bornées. –Les opérations de génération et de mise à jour de la structure de Classement sont lentes. Algorithmes pour les politiques Dynamiques –Relativement lents. –Complexités spatiales et temporelles bornées. –Complexités bornées pour les opérations de génération et de mise à jour de la structure de Classement. –A même d être implanté sur les cartes IFT.
27 février 2001ENST Bretagne 21 Algorithme de Classement Soit : d le nombre de champs à analyser, n le nombre de règles dans la politique. Nous avons développé un Algorithme de Classement: –Complexité temporelle : O(d). –Complexité spatiale max. : O((2n+1) d ). Compl. la plus faible, indépendante du nbre de règles Inutilisable pour d = 4 et n = 50 Dans la pratique Nous avons réussi à implanter des politiques de grande taille. –En utilisant une méthode de compression de la structure de C.A. Cependant !
27 février 2001ENST Bretagne 22 Implémentation Carte danalyse de trafic (IFT) développée par FT R&D Caractéristiques: –Mono-directionnelle. –Connecteur physique ATM/OC12 (622Mb/s). –Algorithme pour la construction de structure de classement non spécifié. –Action : En fonction du contenu de la première cellule ATM dune trame AAL5 et dune structure de classement : commutation de la trame. Classement Tampon IFT Connecteur Physique Connecteur Physique Commutation Politique
27 février 2001ENST Bretagne 23 Contenu de la première cellule ATM En tête IPTCP/UDP/ICMP En tête IPTCP/UDP/ICMP SNAP/LLC En tête IPTCP/UDP/ICMP SNAP/LLC AAL5 En tête IPTCP/UDP/ICMP SNAP/LLC ATM TCP/UDP/ICMP IP SNAP/LLC AAL5 ATM 53 octets En tête IP avec options/ v6TCP/UDP/ICMP SNAP/LLC ATM
27 février 2001ENST Bretagne 24 Implémentation Carte danalyse de trafic (IFT) développée par FT R&D Objectifs: –Développer une architecture permettant de fournir un service de contrôle daccès. –Tester notre algorithme de classement pour vérifier que celui-ci répond à nos contraintes de performances et de QoS. Caractéristiques: –Mono-directionnelle. –Connecteur physique ATM/OC12 (622Mb/s). –Algorithme pour la construction de structure de classement non spécifié. –Action : En fonction du contenu de la première cellule ATM dune trame AAL5 et dune structure de classement : commutation de la trame. Classement Tampon IFT Connecteur Physique Connecteur Physique Commutation Politique
27 février 2001ENST Bretagne 25 Architecture Placée entre un réseau privé et un réseau public. Constituée de trois modules: –Gestionnaire –Filtre de signalisation. –Filtre de niveau cellule. Sintègre à un commutateur ATM existant.
27 février 2001ENST Bretagne 26 Tests Débit et respect de la qualité de service. < 1,31 * 53 * 8 = 555 Mb/s Capacité de classement minimale Taille des cellules Capacité de classement min. : 622 * 26/27= 598 Mb/s Débit du connecteur physique Coût couche physique Débit maximal à classer: Tampon (8192 octets) délai max. = 120 s Mémoire nécessaire: exemples pratiques (9 champs) utilisant un cycle danalyse de 15ns.
27 février 2001ENST Bretagne 27 Conclusions Architecture Centralisée Amélioration du C.A. ATM. Algorithme de classement et cartes IFT –Déterministe. –Garantissant une limite de modification de QoS. –Garantissant un débit minimal. –Peu sensible aux dénis de service. Problème avec IPv6. Algorithme limité aux politiques de contrôle daccès statiques.
27 février 2001ENST Bretagne 28 Agenda Introduction Paramètres de contrôle daccès Architectures de contrôle daccès Gestion du contrôle daccès – Critères de distribution. – Architecture de gestion répartie. Conclusion
27 février 2001ENST Bretagne 29 Gestion du contrôle daccès –Faire en sorte que la configuration de lensemble des équipements du réseau permette de rendre le service de C.A. défini par lofficier de sécurité. Assurer lefficacité Assurer la sécurité –Utiliser le plus petit sous ensemble des règles de C. A. qui assure la politique de C. A. Il faut définir des critères afin de calculer ce sous ensemble. Problème 1: Gérer un ensemble déquipements ayant des interfaces de configuration propriétaires (problème dhétérogénéité). Solution: Méthode dexpression générique et ergonomique de la politique de C.A. Contrainte s Problème 2: Gérer des architectures de contrôle daccès distribuées (Nombre important déquipements de C.A. devant être configurés de manière distante). Solution: Méthode de configuration automatique.
27 février 2001ENST Bretagne 30 Critères Critère 1: Les capacités de contrôle daccès de léquipement. –Une règle ne doit être attribuée quaux équipements se situant sur le chemin entre la source et la destination décrit par cette règle. SourceDestination C.A. Critère 2: La topologie du réseau. IF SRC_ADDRESS = Source AND DST_ADDRESS = Destination THEN PERMIT C.A. –Une règle ne doit pas être attribuée à un équipement si celui-ci na pas les capacités de contrôle daccès pour lappliquer.
27 février 2001ENST Bretagne 31 Critères Critère 3 (Nouveau): Le type de règle (autorisation/ interdiction) –Il suffit quun équipement entre la source et la destination implémente la règle pour que la connexion soit interdite. SourceDestination C.A. IF SRC_ADDRESS = Source AND DST_ADDRESS = Destination THEN DENY C.A.
27 février 2001ENST Bretagne 32 Architectures centralisées de gestion du C.A. Equipement 1 Equipement 3 Console Equipement 2 Officier de sécurité Politique de contrôle daccès Modèle du réseau Filtering Postures, J. Guttman, IEEE S&P 97. Firmato toolkit, Bartal & al., IEEE S&P 99. Policy based management, S. Hinrichs, ACSAC 99. An Asynchronous Distributed Access Control Architecture For IP Over ATM Networks, Paul & al., ACSAC 99. Managing Security In Dynamic networks, Konstantinou & al., LISA 99.
27 février 2001ENST Bretagne 33 Modèle de réseau acyclique SourceDestination CA IF SRC_ADDRESS = Source AND DST_ADDRESS = Destination THEN PERMIT IF SRC_ADDRESS = Source AND DST_ADDRESS = Destination THEN DENY
27 février 2001ENST Bretagne 34 Modèle Acyclique (discussion) Distribution répondant aux critères. Les changements de topologie forcent lOfficier de Sécurité à re- configurer les équipements. SourceDestination CA
27 février 2001ENST Bretagne 35 Trous de sécurité Le délai entre les changements de topologie et la re-configuration des équipements peut provoquer des trous de sécurité. SourceDestination CA X
27 février 2001ENST Bretagne 36 Trous de sécurité Le délai entre les changements de topologie et la re-configuration des équipements peut provoquer des trous de sécurité. SourceDestination CA X X
27 février 2001ENST Bretagne 37 Architecture distribuée de gestion du C.A. Equipement 1 Equipement 3 Console Officier de Sécurité Politique de contrôle daccès Equipement 2 Management of network security application, Hyland & Sandhu, NISSC 98. Integrated management of network and host based security mechanisms, Falk & al., ACISP 98.
27 février 2001ENST Bretagne 38 Notre proposition Les agents interagissent avec dautres éléments. Equipement 1 Agent de routage Equipement 3 Agent de routage Equipement 2 Agent de routage Equipement 4 Agent de routage Agents positionnés sur les équipements de C.A. Agent de GCA Equipement 5 Gestionnaire de CA Les agents assurent une configuration efficace des équipements de C.A. en appliquant nos 3 critères
27 février 2001ENST Bretagne 39 Notre proposition Points clefs: –Interaction continue entre lagent et son environnement. Adaptation automatique de la politique de C.A. Agent de routage Agent de gestion du contrôle daccès Mécanisme de contrôle daccès Tables de routage –Les changements topologiques peuvent être appliqués une fois que la posture de C.A. a été calculée. Les trous de sécurité sont évités
27 février 2001ENST Bretagne 40 Lusage de tous les critères conduit à un nombre de règles comparable à celui atteint par un configuration manuelle Résultats simulatoires Le nombre de règles avec optimisation croit de manière linéaire avec le nombre déquipements alors que le nombre de règles sans optimisation croit de manière polynomiale.
27 février 2001ENST Bretagne 41 Conclusions LOfficier de Sécurité apprend a posteriori ce qui est arrivé dans le réseau. Toute la politique de contrôle daccès doit être envoyée aux agents. Fournit des configurations plus efficaces par lintroduction dun nouveau critère. Limite les interactions entre lofficier de sécurité et le système de gestion du contrôle daccès. Supprime la possibilité de trous temporaires de sécurité. A la capacité de gérer le contrôle daccès dans les réseaux IP/ATM. Architecture distribuée de gestion automatique du contrôle daccès
27 février 2001ENST Bretagne 42 Introduction Paramètres de contrôle daccès Architectures de contrôle daccès Gestion du contrôle daccès Conclusion Agenda
27 février 2001ENST Bretagne 43 Conclusion Une étude des paramètres de contrôle daccès ATM –Profils de protection par application. –Classement des paramètres en fonction de leur utilité. Deux architectures de contrôle daccès pour les réseaux IP/ATM – Prise en compte des paramètres de contrôle daccès ATM. – Nouvelle architecture de contrôle daccès / Algorithmes de classement traditionnels. – Architecture de contrôle daccès traditionnelle / Nouveau Algorithme de classement. – Implémentation au moyen de cartes IFT. Architecture de gestion automatique du contrôle daccès – Définition dun nouveau critère de distribution. – Définition dune nouvelle architecture permettant de supprimer les « trous de sécurité ». – Implémentation sur le simulateur ns.
27 février 2001ENST Bretagne 44 Mais également... Langages de description de politique de contrôle daccès – De bas niveau (Gestion du problème d hétérogénéité). – De haut niveau (Gestion du problème dergonomie). Architecture centralisée de gestion automatique du contrôle daccès Intégrité du service de contrôle daccès – Intégration de la notion dintégrité du service de contrôle daccès dans les architectures de gestion automatique. – Implémentation sur le simulateur ns.
27 février 2001ENST Bretagne 45 Perspectives Définition de paramètres de niveau applicatif. Amélioration de notre algorithme de classement. Utilisation de nouvelles cartes. –Débit plus élevé. –Profondeur danalyse plus importante. –Nouvelles fonctionnalités. Application à de nouveaux domaines (Cryptographie, Détection dintrusion, Contrôle daccès applicatif). Adaptation à dautres services de sécurité. Prise en compte de la notion de confiance dans le problème dintégrité du C.A.
27 février 2001ENST Bretagne 46 Questions ?