Gestion efficace du contrôle d’accès dans les réseaux

Gestion efficace du Gestion efficace du contrôle d’accès dans les contrôle d’accès dans les

réseauxréseaux

Olivier PaulOlivier Paul

Département RSMDépartement RSM

ENSTBENSTB

PlanPlan

Introduction.Introduction. Etat de l ’art.Etat de l ’art. Résultats simulatoires.Résultats simulatoires. Conclusion.Conclusion.

IntroductionIntroduction Le contrôle d ’accès:Le contrôle d ’accès:

– Service qui assure une protection contre une Service qui assure une protection contre une utilisation non autorisée de ressources par une utilisation non autorisée de ressources par une entité ou un groupe d ’entité (ISO).entité ou un groupe d ’entité (ISO).

Réseau

Client Serveur

Firewall

access-list 101 permit tcp any gt 1023 192.165.203.5 0.0.0.0 eq 80

Hétérogénéité des Hétérogénéité des langages/outilslangages/outils

Les différences peuvent provoquer des Les différences peuvent provoquer des erreurs de configurationerreurs de configuration

Le temps passé à étudier les différents Le temps passé à étudier les différents langages est perdu pour des activités plus langages est perdu pour des activités plus utilesutiles

Nouvelles architecturesNouvelles architectures

InternetCARéseau 1

CARéseau 0

Les architectures de contrôle d ’accès deviennent de plusLes architectures de contrôle d ’accès deviennent de plusen plus complexes.en plus complexes.

CA

Réseau 2

CA

Terminal

Vision globale de la Vision globale de la sécuritésécurité

Réseau 2 CA InternetCARéseau 1

CARéseau 0

Les politiques de sécurité doivent prendre en Les politiques de sécurité doivent prendre en compte la globalité du service de contrôle compte la globalité du service de contrôle d ’accèsd ’accès

ConclusionConclusion

InternetCARéseau 1

CARéseau 0

Il est nécessaire de développer des outils de gestion Il est nécessaire de développer des outils de gestion automatique du contrôle d ’accès.automatique du contrôle d ’accès.

CA

Réseau 2

CA

Terminal

Politique decontrôle d ’accès

Etat de l ’art (1)Etat de l ’art (1)

Interface graphiqueInterface graphique– [Sam95].[Sam95].

Langage formelLangage formel– [Gu97], [Wil98].[Gu97], [Wil98].

Langage de bas niveauLangage de bas niveau– [Hin99], [Plg099], [Pfip98], [Plg199].[Hin99], [Plg099], [Pfip98], [Plg199].

Langage à base de rôleLangage à base de rôle– [Fir99].[Fir99].

Langage génériqueLangage générique

Langage génériqueLangage générique

Langage ALangage A Langage BLangage B Langage CLangage C

Outil AOutil A Outil BOutil B Outil COutil C

Interface graphiqueInterface graphique

Mal adapté à l ’automatisation.Mal adapté à l ’automatisation.

Langage formelLangage formel Description formelle de la politique de C.A.Description formelle de la politique de C.A.

Zones : aZones : a11,a,a22,…, a,…, aii, …, a, …, ann Paquets : pPaquets : p11,p,p22,…, p,…, pii, …, p, …, pnn

Règle : Règle : ijij(p(pkk) ) Politique : P = {Politique : P = {ijij(p(pkk)} )}

Permet de prouver que la distribution est correctePermet de prouver que la distribution est correcte

Les utilisateurs !!!Les utilisateurs !!!

Langage de bas niveauLangage de bas niveau Description pratique de la politique de C.A.Description pratique de la politique de C.A.

– Utilisation de langages génériques de bas niveau.Utilisation de langages génériques de bas niveau.

Autoriser la machine 192.165.203.5 à utiliser des serveurs WWW externes:Autoriser la machine 192.165.203.5 à utiliser des serveurs WWW externes:

IF (IP_SRC_ADDRESS = 192.165.203.5 255.255.255.255) AND (IP_DST_ADDRESS = 0.0.0.0 0.0.0.0) AND (SRC_PORT > 1023) AND (DST_PORT = 80) THEN PERMIT TRANSP_CONNECTION LEVEL1;

IF (IP_SRC_ADDRESS = 0.0.0.0 0.0.0.0) AND (IP_DST_ADDRESS = 192.165.203.5 255.255.255.255) AND (SRC_PORT = 80) AND (DST_PORT > 1023) AND (TCP_FLAG <> SYN) THEN PERMIT TRANSP_CONNECTION LEVEL1;

Langage de bas niveauLangage de bas niveau Description pratique de la politique de C.A.Description pratique de la politique de C.A.

– Utilisation de langages génériques de bas niveau.Utilisation de langages génériques de bas niveau.

Les utilisateurs.Les utilisateurs. Comment faire avec 1000 machines ?Comment faire avec 1000 machines ?

Langage à base de rôlesLangage à base de rôles Description pratique de la politique de C.A.Description pratique de la politique de C.A.

– Utilisation de rôles pour limiter la complexité.Utilisation de rôles pour limiter la complexité.

Service WWW(SRC_PORT > 1023) AND (DST_PORT = 80)

ClientW3192.165.203.5, 192.165.203.6, 192.165.203.7

ServeurW3193.203.165.3

Serveur WWWServeurW3 <-> ClientW3 : Service WWW

Politique de contrôle d ’accès instanciée

Etat de l ’art (2)Etat de l ’art (2)

Distribution manuelle centraliséeDistribution manuelle centralisée– [Sam95].[Sam95].

Distribution automatique centraliséeDistribution automatique centralisée– [Gu97].[Gu97].– [Fir99], [Plg099].[Fir99], [Plg099].– [Hin99].[Hin99].

Distribution automatique distribuéeDistribution automatique distribuée– [Pfip98]. [Pfip98]. – [Plg199].[Plg199].

Distribution manuelle Distribution manuelle centraliséecentralisée

Outil graphique de configuration des équipements.Outil graphique de configuration des équipements.

Indépendance vis à vis du protocole de gestion.Indépendance vis à vis du protocole de gestion.

Projet européen SAMSON achevé en 1995. Objectif: Faciliter Projet européen SAMSON achevé en 1995. Objectif: Faciliter la gestion d ’équipements de sécurité hétérogènes.la gestion d ’équipements de sécurité hétérogènes.

Firewall 1

Firewall 2

Firewall 3

Console

Distribution automatique Distribution automatique de la politique de contrôle de la politique de contrôle

d ’accèsd ’accès

Configurer chaque Configurer chaque équipement de C. A. équipement de C. A. avec l ’ensemble des avec l ’ensemble des règles de C. A.règles de C. A.

Garantir l ’efficacité.Garantir l ’efficacité. Garantir la sécurité.Garantir la sécurité.

Garantir l ’efficacitéGarantir l ’efficacité

Routeur

ProtoSourceports

DestAddress

SourceSource

AddressAddressFlags

Destports

If Cond1 and Cond2 and Cond3 then action1If Cond4 and Cond5 then action2If Cond6 then action1

Politique de n règlesportant sur les c champs

Classification :Classification :

Complexité : O(log n), Complexité : O(log n), complexité spatiale : O(n complexité spatiale : O(n cc).).

Complexité spatiale: O(n), Complexité spatiale: O(n), complexité : O(log complexité : O(log c-1c-1 n). n).

Le nombre de règle a un impact important sur le processus de classificationLe nombre de règle a un impact important sur le processus de classification

Paquet composé de c champsPaquet composé de c champs

Distribution automatique Distribution automatique de la politique de contrôle de la politique de contrôle


Configurer chaque Configurer chaque équipement de C. A. équipement de C. A. avec l ’ensemble des avec l ’ensemble des règles de C. A.règles de C. A.

Garantir l ’efficacité.Garantir l ’efficacité. Garantir la sécurité.Garantir la sécurité. Utiliser le plus petit sous Utiliser le plus petit sous

ensemble des règles de ensemble des règles de C. A. qui assure la C. A. qui assure la politique de C. A.politique de C. A.

Il faut définir des critères afin Il faut définir des critères afin de calculer ce sous ensemble.de calculer ce sous ensemble.

Critère 1Critère 1 Les capacités de contrôle d ’accès de l ’equipement.Les capacités de contrôle d ’accès de l ’equipement.

Une règle ne doit pas être attribuée à un Une règle ne doit pas être attribuée à un équipement si celui-ci n ’a pas les capacités équipement si celui-ci n ’a pas les capacités de contrôle d ’accès pour l ’appliquer.de contrôle d ’accès pour l ’appliquer.

ATM

END System

ATMNative

Application

ATMNative

Application

C.A.

Rule 1: IF <Conditions at the IP level> Then <Action>

Rule 2: IF <Conditions at the ATM level> Then <Action>

Access Control Policy

Critère 2Critère 2 La topologie du réseau.La topologie du réseau.

Une règle ne doit être attribuée qu ’aux Une règle ne doit être attribuée qu ’aux équipements se situant sur le chemin entre la équipements se situant sur le chemin entre la source et la destination décrit par cette règle.source et la destination décrit par cette règle.

Source Destination

C.A.

C.A. C.A.

C.A.

C.A.

C.A.C.A.C.A.

C.A.

IF SRC_ADDRESS = Source AND DST_ADDRESS = Destination THEN PERMIT

C.A.C.A.C.A.

C.A.

Critère 3Critère 3 Le type de règle (autorisation/ interdiction)Le type de règle (autorisation/ interdiction)

Il suffit qu ’un équipement entre la source Il suffit qu ’un équipement entre la source et la destination implémente la règle pour et la destination implémente la règle pour que la connexion soit interdite.que la connexion soit interdite.

Source Destination

C.A.

C.A. C.A.

C.A.

C.A.

IF SRC_ADDRESS = Source AND DST_ADDRESS = Destination THEN DENY

C.A.C.A.

C.A.

C.A. C.A.C.A.C.A.

C.A.

C.A.

Distribution automatique Distribution automatique centraliséecentralisée

Firewall 1 Firewall 3

Console Firewall 2

Officier de sécurité

Politique de contrôle

d ’accès

Modèledu réseau


Définition de conditions statiques de distribution.Définition de conditions statiques de distribution.

Basée sur un modèle du réseau.Basée sur un modèle du réseau. Adaptation automatique de la politique par un équipement centralisé.Adaptation automatique de la politique par un équipement centralisé.


Critère: Les capacités de contrôle d ’accès.Critère: Les capacités de contrôle d ’accès.

r = {o r = {o O}, e = {o ’ O}, e = {o ’ O} O}

r r e ? e ?

Source Destination

C.A.

C.A.

C.A.

C.A.


Critères: La topologie et le type de règle. Critères: La topologie et le type de règle. Modèle cyclique.Modèle cyclique.

Source Destination

C.A.

C.A.

C.A.

C.A.


Modèle cyclique.Modèle cyclique. Résiste aux changements de topologie.Résiste aux changements de topologie. Distribution non optimale.Distribution non optimale.


Critère: La topologie et le type de règle.Critère: La topologie et le type de règle. Modèle acyclique.Modèle acyclique.

Source Destination

C.A.

C.A.

C.A.

C.A.


Modèle acyclique.Modèle acyclique. Bonne optimisation.Bonne optimisation. Que faire en cas de changement de topologie ?Que faire en cas de changement de topologie ?


Critère: La topologie et le type de règle.Critère: La topologie et le type de règle. Compromis.Compromis.

Source Destination

C.A.

C.A.

C.A.

C.A.

S

S

S


Compromis.Compromis. Facilité d ’utilisation et optimisation.Facilité d ’utilisation et optimisation. Pas optimal.Pas optimal. La taille du modèle si les changements La taille du modèle si les changements

topologiques sont internes.topologiques sont internes.


Définition de conditions statiques de distribution.Définition de conditions statiques de distribution.

La quasi totalité des solutions commerciales existantes.La quasi totalité des solutions commerciales existantes. Modèle statique Modèle statique

– Obligation de faire un compromis entre facilité de gestion et Obligation de faire un compromis entre facilité de gestion et optimisation.optimisation.

Distribution automatique Distribution automatique répartierépartie

Firewall 1 Firewall 3

Console

Officier de sécurité

Politique de contrôle

d ’accès

Firewall 2


Définition de conditions dynamiques de distribution.Définition de conditions dynamiques de distribution.

Pas de modèle de réseau.Pas de modèle de réseau. Adaptation automatique de la politique par les équipements de contrôle Adaptation automatique de la politique par les équipements de contrôle

d ’accès.d ’accès.

Architecture répartie de Architecture répartie de gestion du contrôle gestion du contrôle


Interagissent avec d ’autres Interagissent avec d ’autres éléments du réseau. éléments du réseau.

Equipement 1

Agent de routage

Equipement 3

Agent de routage

Equipement 2

Agent de routage

Equipement 4

Agent de routage

Agents placés sur les Agents placés sur les équipements de C. A.équipements de C. A. Agent de GCA

Agent de GCAAgent de GCA

Equipement 5

Gestionnaire de CA

Agents assurent la configuration Agents assurent la configuration des équipements de C.A. en des équipements de C.A. en appliquant nos 3 critères.appliquant nos 3 critères.


Définition de conditions dynamiques de distribution.Définition de conditions dynamiques de distribution.

Pas de modèlePas de modèle– Comment s ’assurer que la politique est bien Comment s ’assurer que la politique est bien

implémentée.implémentée.

SimulationsSimulations

Objectifs:Objectifs:– Tester la correction des critères proposés.Tester la correction des critères proposés.– Tester la correction des algorithmes proposés.Tester la correction des algorithmes proposés.– Tester les performances des critères.Tester les performances des critères.

En fonction de la topologie du réseau.En fonction de la topologie du réseau. En fonction de la taille du réseau.En fonction de la taille du réseau.

SimulationsSimulations

Implémentation sur le simulateur Implémentation sur le simulateur nsns..– Utilisation des fonctions de routage.Utilisation des fonctions de routage.

~1000 lignes Otcl, ~100 lignes C++.~1000 lignes Otcl, ~100 lignes C++. Simplification de certains paramètres:Simplification de certains paramètres:

– Relation GCA-AGCA.Relation GCA-AGCA.– Codage des règles.Codage des règles.– Placement des agents.Placement des agents.– PEICA basé sur IP.PEICA basé sur IP.

Définition d ’une politique Définition d ’une politique « standard » de C.A.« standard » de C.A.

Basé sur des politiques génériques Basé sur des politiques génériques [CB94], [CZ95].[CB94], [CZ95].

Modifications afin de refléter des Modifications afin de refléter des politiques réelles.politiques réelles.

Type de règle Permit DenySpécifiée 60 10Non Spécifiée 5 5

Conditions de testConditions de test Tests de différentes Tests de différentes

topologies.topologies.– Taille du réseau (4 -121).Taille du réseau (4 -121).– Type de topologie (maillée, Type de topologie (maillée,

étoile).étoile). Fonction des nœuds:Fonction des nœuds:

– Nœuds de bordure: service de Nœuds de bordure: service de contrôle d ’accès complets.contrôle d ’accès complets.

– Nœuds internes: service réduit.Nœuds internes: service réduit.

RésultatsRésultats Correction des critèresCorrection des critères

– La distribution ne modifie pas les propriétés de contrôle La distribution ne modifie pas les propriétés de contrôle d ’accès.d ’accès.

– Les critères assurent une bonne répartitionLes critères assurent une bonne répartition Pour 40 nœuds, Topologie en étoile.Pour 40 nœuds, Topologie en étoile.

– Min : 10 (10).Min : 10 (10).– Max : 144 (140).Max : 144 (140).

RésultatsRésultats76000

51430

11675 104633908

0

10000

20000

30000

40000

50000

60000

70000

80000 PerformancesPerformances

– type de critère.type de critère. 40 nœuds.40 nœuds. Topologie en étoile.Topologie en étoile.

RésultatsRésultats PerformancesPerformances

– Taille du réseau.Taille du réseau. Topologie en étoile.Topologie en étoile.

RésultatsRésultats PerformancesPerformances

– Type de topologie.Type de topologie. 40 nœuds.40 nœuds.

ConclusionConclusion

Distribution automatique de la politique de Distribution automatique de la politique de contrôle d ’accès.contrôle d ’accès.– Langage générique d ’expression de la PCA.Langage générique d ’expression de la PCA.– Architecture de gestion de la PCA.Architecture de gestion de la PCA.

Distribution efficace.Distribution efficace.– Processus de contrôle d ’accès plus performant.Processus de contrôle d ’accès plus performant.

Adaptation automatique.Adaptation automatique.– Libère l ’officier de sécurité de la gestion des Libère l ’officier de sécurité de la gestion des

modifications.modifications.– Réactivité importante.Réactivité importante.

Travaux futursTravaux futurs

Sécurisation des communications externes.Sécurisation des communications externes. Implémentation.Implémentation.

Comment s ’assurer que la politique de Comment s ’assurer que la politique de contrôle d ’accès est bien appliquée ?contrôle d ’accès est bien appliquée ?

D ’autres critères de diminution de la taille D ’autres critères de diminution de la taille des politiques de contrôle d ’accès ?des politiques de contrôle d ’accès ?

Elargissement à d ’autres services (QoS, Elargissement à d ’autres services (QoS, routage,...).routage,...).

Normalisation (IETF).Normalisation (IETF).

Documents

Gestion efficace du contrôle d’accès dans les réseaux