Post on 03-Apr-2015
ENST Bretagne
Le contrôle d’accès dans les réseaux ATM
Olivier Paul
Thèse de doctorat de l’Université de Rennes I
ENST Bretagne
Département RSM
27 février 2001 ENST
Bretagne2
Agenda
• Introduction
• Paramètres de contrôle
d’accès
• Architectures de
contrôle d’accès
• Gestion du contrôle
d’accès
• Conclusion
27 février 2001 ENST
Bretagne3
Le contrôle d ’accès• Service qui assure une protection contre une utilisation non autorisée
de ressources par une entité ou un groupe d’entités (ISO).
Réseau
Client Serveur
Firewall
Deny any 192.165.203.5 mput, put, cd, ls
access-list 101 permit tcp any gt 1023 192.165.203.5 0.0.0.0 eq 80
• Action
• Adresses source et destination• Protocole
• Application ou service utilisé
27 février 2001 ENST
Bretagne4
Les réseaux ATM
• Spécifiés pour le transport de flux de natures variées.
• Permettent aux applications de demander au réseau des garanties de qualité de service.
• Débits « élevés ».
• Orientés connexion.
• Information transportée sous forme de cellules.
• Usages:
– Direct: Quelques applications ATM natives (ANS, VoD).
– Indirect: IP over ATM (IPOA, LANE, MPOA, MPLS): usage le plus courant.
27 février 2001 ENST
Bretagne5
Firewall non applicatif
Réassemblage FragmentationClassementTampon
Firewall
Bus/
Matrice deCommutation
• Altération de la Qualité de Service (perte/délai) est fonction de l’utilisation du tampon.
• Le processus de classement et les opérations de copie sont considérés comme les points de blocage en terme de performance.
27 février 2001 ENST
Bretagne6
Le problème du classement des flux
Classeurde flux
ProtoPorts
SourceAdresse
DestAdresseSource
Drap.PortsDest.
If Cond1 and Cond2 and Cond3 then action1
If Cond4 and Cond5 then action2
If Cond6 then action1
n règles portant sur d champs
Bornes théoriques:Bornes théoriques:
• Comp. Temporelle : O(log n)
Comp. Spatiale : O(n d).
• Comp. Temporelle: O(n)
Comp. Spatiale: O(log d-1 n).
d champs
Lakshman & al. [ACM SIGCOMM ‘ 98]
27 février 2001 ENST
Bretagne7
Firewall non applicatif
Réassemblage FragmentationClassementTampon
Firewall
Bus/
Matrice deCommutation
• Altération de la Qualité de Service (perte/délai) est fonction de l’utilisation du tampon.
• Le processus de classement et les opérations de copie sont considérés comme les points de blocage en terme de performance.
• Vis à vis des réseaux ATM:
Débit Qualité de Service Paramètres
27 février 2001 ENST
Bretagne8
Agenda
• Introduction
• Paramètres de contrôle
d’accès
• Architectures de
contrôle d’accès
• Gestion du contrôle
d’accès
• Conclusion
27 février 2001 ENST
Bretagne9
Paramètres de contrôle d’accès
Paramètres ATM
Paramètres TCP/IP
Déjà abondamment décrits
Informations d’adressage
Analyse des informations fournies par le modèle ATM
Existant
Nouvelles
attaques
Analogies avec les informations utilisées dans
les protocoles existants
Nouveaux paramètres de contrôle d’accès ATM
Catalogue classé des paramètres de contrôle d’accès ATM
Analyse des utilisations normalisées
Profils de contrôle d’accès par application
27 février 2001 ENST
Bretagne10
Paramètres de contrôle d’accès ATM
Informations d’adressage
Informations fournies par la signalisation
Descripteurs de service
Descripteurs de qualité de Service
Nouvelles informations d’adressage
Informations « physiques »
Informations fournies par les en-têtes des cellules
Identificateurs de connexion
Type de flux
Existant
27 février 2001 ENST
Bretagne11
Agenda
• Introduction
•Paramètres de contrôle d’accès
• Architectures de contrôle d’accès.
• Gestion du contrôle d’accès
• Conclusion
27 février 2001 ENST
Bretagne12
Architectures de contrôle d’accès
Deux problèmes principaux à résoudre:
Performance du processus de classement
Garantie de la QoS
Architecture de contrôle d’accès par
agentsArchitecture de contrôle d’accès
centralisée
Distribution des calculs
Contrôle non bloquant
Processus de classement
rapide
Processus de classement à délai faible et
borné
Objectif: Fournir un service de contrôle d’accès:
– Pour les utilisations natives ATM.Utilisation des nouveaux paramètres de contrôle d’accès.– Pour les utilisations de type IP/ATM.Utilisation des paramètres de contrôle d’accès TCP/IP classiques.
27 février 2001 ENST
Bretagne13
Contrôleur
Contrôleur
Politique
Politique
Architecture de contrôle d’accès par agentAmélioration des performances
ContrôleurRéseau ATM Interne Réseau ATM ExternePolitique
Processus de contrôle d’accès concurrents
Schuba [Ph.D. Thesis Purdue University 97]
27 février 2001 ENST
Bretagne14
Architecture de contrôle d’accès par agentAmélioration des performances
Contrôleur
Réseau ATM Interne 1
Réseau ATM Externe
Contrôleur
Contrôleur
Réseau ATM Interne 2
Réseau ATM Interne 3
Politique
Politique
Politique
Spécialisation du contrôle d’accès par segmentation de la politique
27 février 2001 ENST
Bretagne15
Architecture de contrôle d’accès par agentL’amélioration règle t’elle le problème du respect de la QoS ?• Si l’on peut s’assurer
– Que l’amélioration est toujours suffisante pour répondre aux débits soumis.– Que le processus de classement est à délai faible et borné.
• Alors: Oui.• Est-ce le cas des outils existants de contrôle d’accès ? : Non.Il convient donc d’assurer ce respect d’une autre manière.
Notre Idée: Un processus de contrôle d’accès non bloquant
La décision de contrôle d’accès se prend de manière indépendante du passage du flux sur le réseau.
27 février 2001 ENST
Bretagne16
Architecture de contrôle d’accès par agentSi l’on ne bloque pas le flux, où trouver
l’information le décrivant ?
> Dans les piles protocolaires des éléments du réseau.
• Les équipements réseau gardent des informations sur les communications en cours dans leurs piles protocolaires.
ATMEnd
System 1
ATMSwitch
ATMEnd
System 2
External network
Line 1
Line 3
• Il est possible d’accéder à ces informations au moyen de programmes externes.
E. P.
E. P.E. P.
Line 2
ATMSwitch
• Nous avons montré que la plupart des informations utiles au contrôle d’accès peuvent y être trouvées.
27 février 2001 ENST
Bretagne17
ATMEnd
System 1
ATMSwitch
ATMEnd
System 2
External network
Line 1
Line 3
Agent
AgentAgent
Line 2
ATMSwitch
Architecture de contrôle d’accès par agent
• L’idée de base est de modifier un tel logiciel et d’y introduire un processus de contrôle d’accès.
• Il les compare ensuite à une description des communications autorisées.
• Ce logiciel appelé agent lit périodiquement les valeurs décrivant les communications dans les piles protocolaires.
• Si la communication est interdite, l’agent interagit avec la pile protocolaire pour interrompre celle-ci.
27 février 2001 ENST
Bretagne18
Conclusions
•Amélioration du C.A. ATM.
•Amélioration des performances.
•Garantie du respect de la QoS.
•Solution conforme à l’esprit ATM.
Architecture Asynchrone Distribuée
•Amélioration des performances difficiles à évaluer.
•Sécurité non garantie.
•Gestion des agents de C.A.
27 février 2001 ENST
Bretagne19
Agenda
• Introduction
•Paramètres de contrôle d’accès
• Architectures de contrôle d’accès
– Architecture de contrôle d’accès par agent.
– Architecture de contrôle d’accès centralisée.
• Algorithme de classement.
• Cartes IFT.
• Gestion du contrôle d’accès
• Conclusion
27 février 2001 ENST
Bretagne20
Algorithmes de Classement déterministes
Possibilité de borner le temps de classement pour un flux et une politique donnés
• Algorithmes pour les politiques Statiques
– Rapides
– Utilisent les redondances pouvant être trouvées dans les politiques de contrôle d’accès
– Complexités spatiales et temporelles non bornées.
– Les opérations de génération et de mise à jour de la structure de Classement sont lentes.
• Algorithmes pour les politiques Dynamiques
– Relativement lents.
– Complexités spatiales et temporelles bornées.
– Complexités bornées pour les opérations de génération et de mise à jour de la structure de Classement.
– A même d ’être implanté sur les cartes IFT.
27 février 2001 ENST
Bretagne21
Algorithme de Classement
• Soit : d le nombre de champs à analyser, n le nombre de règles dans la politique.
• Nous avons développé un Algorithme de Classement:
– Complexité temporelle : O(d).
– Complexité spatiale max. : O((2n+1)d).Compl. la plus faible, indépendante du nbre de règles
Inutilisable pour d = 4 et n = 50
• Dans la pratique Nous avons réussi à implanter des politiques de grande taille.
– En utilisant une méthode de compression de la structure de C.A.
Cependant !
27 février 2001 ENST
Bretagne22
Implémentation
• Carte d’analyse de trafic (IFT) développée par FT R&D
• Caractéristiques:
– Mono-directionnelle.
– Connecteur physique ATM/OC12 (622Mb/s).
– Algorithme pour la construction de structure de classement non spécifié.
– Action : En fonction du contenu de la première cellule ATM d’une trame AAL5 et d’une structure de classement : commutation de la trame.
Classement
Tampon
IFT
ConnecteurPhysique
ConnecteurPhysiqueCommutation
Politique
27 février 2001 ENST
Bretagne23
Contenu de la première cellule ATM
En tête IP TCP/UDP/ICMP
TCP/UDP/ICMP
En tête IP TCP/UDP/ICMPSNAP/LLC
En tête IP TCP/UDP/ICMPSNAP/LLC AAL5
En tête IP TCP/UDP/ICMPSNAP/LLCATM
TCP/UDP/ICMP
IP
SNAP/LLC
AAL5
ATM
53 octets
En tête IP avec options/ v6 TCP/UDP/ICMPSNAP/LLCATM
27 février 2001 ENST
Bretagne24
Implémentation
• Carte d’analyse de trafic (IFT) développée par FT R&D
• Objectifs:
– Développer une architecture permettant de fournir un service de contrôle d’accès.
– Tester notre algorithme de classement pour vérifier que celui-ci répond à nos contraintes de performances et de QoS.
• Caractéristiques:
– Mono-directionnelle.
– Connecteur physique ATM/OC12 (622Mb/s).
– Algorithme pour la construction de structure de classement non spécifié.
– Action : En fonction du contenu de la première cellule ATM d’une trame AAL5 et d’une structure de classement : commutation de la trame.
Classement
Tampon
IFT
ConnecteurPhysique
ConnecteurPhysiqueCommutation
Politique
27 février 2001 ENST
Bretagne25
Architecture
• Placée entre un réseau privé et un réseau public.
• Constituée de trois modules:
ATM ATM IFT IFT
SignallingFilter
Manager
SUN Station
IFT Driver
Demon
ATMSwitch
Solaris PC
InternalNetwork
ExternalNetwork
Controler
– Gestionnaire
– Filtre de signalisation.
– Filtre de niveau cellule.
• S’intègre à un commutateur ATM existant.
27 février 2001 ENST
Bretagne26
Tests
• Débit et respect de la qualité de service.
<1,31 * 53 * 8 = 555 Mb/s
Capacité de classementminimale
Taille des cellules
Capacité de classement min. :
622 * 26/27= 598 Mb/s
Débit du connecteur physique
Coût couchephysique
Débit maximal à classer:
Tampon (8192 octets)délai max. = 120 s
• Mémoire nécessaire: exemples pratiques (9 champs) utilisant un cycle d’analyse de 15ns.
Type de politique Nombre de règles Capacité de Classement Mémoire utilisée[Che94], [Cha95] 40 1,31 Mc/s 17 K octets
750 1,31 Mc/s 1.5 M octetsISP Français 7900 1,31 Mc/s 3,4 M octets
27 février 2001 ENST
Bretagne27
Conclusions
Architecture Centralisée
•Amélioration du C.A. ATM.
•Algorithme de classement et cartes IFT
– Déterministe.
– Garantissant une limite de modification de QoS.
– Garantissant un débit minimal.
– Peu sensible aux dénis de service.
•Problème avec IPv6.
•Algorithme limité aux politiques de contrôle d’accès statiques.
27 février 2001 ENST
Bretagne28
Agenda
• Introduction
• Paramètres de contrôle d’accès
• Architectures de contrôle d’accès
• Gestion du contrôle d’accès
– Critères de distribution.
– Architecture de gestion répartie.
• Conclusion
27 février 2001 ENST
Bretagne29
Gestion du contrôle d’accès
– Faire en sorte que la configuration de l’ensemble des équipements du réseau permette de rendre le service de C.A. défini par l’officier de sécurité.
• Assurer l’efficacité• Assurer la sécurité
– Utiliser le plus petit sous ensemble des règles de C. A. qui assure la politique de C. A.
• Il faut définir des critères afin de calculer ce sous ensemble.
• Problème 1: Gérer un ensemble d’équipements ayant des interfaces de configuration propriétaires (problème d’hétérogénéité).
• Solution: Méthode d’expression générique et ergonomique de la politique de C.A.
Contraintes
• Problème 2: Gérer des architectures de contrôle d’accès distribuées (Nombre important d’équipements de C.A. devant être configurés de manière distante).
• Solution: Méthode de configuration automatique.
27 février 2001 ENST
Bretagne30
Critères
• Critère 1: Les capacités de contrôle d’accès de l’équipement.
– Une règle ne doit être attribuée qu’aux équipements se situant sur le chemin entre la source et la destination décrit par cette règle.
Source Destination
C.A.
C.A. C.A.
C.A.
C.A.
C.A.C.A.C.A.
C.A.
• Critère 2: La topologie du réseau.
IF SRC_ADDRESS = Source AND DST_ADDRESS = Destination THEN PERMIT
C.A.C.A.C.A.
C.A.
– Une règle ne doit pas être attribuée à un équipement si celui-ci n’a pas les capacités de contrôle d’accès pour l’appliquer.
27 février 2001 ENST
Bretagne31
Critères
• Critère 3 (Nouveau): Le type de règle (autorisation/ interdiction)
– Il suffit qu’un équipement entre la source et la destination implémente la règle pour que la connexion soit interdite.
Source Destination
C.A.
C.A. C.A.
C.A.
C.A.
IF SRC_ADDRESS = Source AND DST_ADDRESS = Destination THEN DENY
C.A.C.A.
C.A.
C.A. C.A.C.A.C.A.
C.A.
C.A.
27 février 2001 ENST
Bretagne32
Architectures centralisées de gestion du C.A.
Equipement 1 Equipement 3
Console Equipement 2
Officier de sécurité
Politique decontrôled’accès
Modèle du réseau
• Filtering Postures, J. Guttman, IEEE S&P 97.
• Firmato toolkit, Bartal & al., IEEE S&P 99.
• Policy based management, S. Hinrichs, ACSAC 99.
• An Asynchronous Distributed Access Control Architecture For IP Over ATM Networks, Paul & al. , ACSAC 99.
• Managing Security In Dynamic networks, Konstantinou & al., LISA 99.
27 février 2001 ENST
Bretagne33
Modèle de réseau acyclique
Source Destination
CA
CA
CA
CA
IF SRC_ADDRESS = Source AND DST_ADDRESS = Destination THEN PERMIT
IF SRC_ADDRESS = Source AND DST_ADDRESS = Destination THEN DENY
27 février 2001 ENST
Bretagne34
Modèle Acyclique (discussion)
Distribution répondant aux critères.
Les changements de topologie forcent l’Officier de Sécurité à re-configurer les équipements.
Source Destination
CA
CA
CA
CA
27 février 2001 ENST
Bretagne35
Trous de sécurité
Le délai entre les changements de topologie et la re-configuration des équipements peut provoquer des trous de sécurité.
Source Destination
CA
CA
CA
CA
X
CA
CA
27 février 2001 ENST
Bretagne36
Trous de sécurité
Le délai entre les changements de topologie et la re-configuration des équipements peut provoquer des trous de sécurité.
Source Destination
CA
CA
CA
CA
X
CA
CA
X
27 février 2001 ENST
Bretagne37
Architecture distribuée de gestion du C.A.
Equipement 1 Equipement 3
Console
Officier de Sécurité
Politique decontrôled’accès
Equipement 2
• Management of network security application, Hyland & Sandhu, NISSC 98.
• Integrated management of network and host based security mechanisms, Falk & al., ACISP 98.
27 février 2001 ENST
Bretagne38
Notre proposition
• Les agents interagissent avec d’autres éléments.
Equipement 1
Agent de routage
Equipement 3
Agent de routage
Equipement 2
Agent de routage
Equipement 4
Agent de routage
• Agents positionnés sur les équipements de C.A. Agent de GCA
Agent de GCAAgent de GCA
Equipement 5
Gestionnaire de CA
• Les agents assurent une configuration efficace des équipements de C.A. en appliquant nos 3 critères
27 février 2001 ENST
Bretagne39
Notre proposition• Points clefs:
– Interaction continue entre l’agent et son environnement.
• Adaptation automatique de la politique de C.A.
Agent de routageAgent de gestion du
contrôle d’accès
Mécanisme de contrôle d’accès
Tables de routage
– Les changements topologiques peuvent être appliqués une fois que la posture de C.A. a été calculée.
• Les trous de sécurité sont évités.
1 2
354
27 février 2001 ENST
Bretagne40
Nombre total de règles dans le réseau/ Critères utilisés
0
10000
20000
30000
40000
50000
60000
70000
80000
Aucun critère Critère 1 Critère 2 Crit. 2 & 3 Tous les crit.Distribution automatique Distribution manuelle
L’usage de tous les critères conduit à un nombre de règles comparable à celui atteint par un configuration manuelle
Résultats simulatoires
Nombre total de règles/ Nombre de nœuds
1
10
100
1000
10000
100000
1000000
4 13 40 121
Nb de règles après opt.C3C1C2Nb de règles sans opt.
Le nombre de règles avec optimisation croit de manière linéaire avec le nombre d’équipements alors que le nombre de règles sans optimisation croit de manière polynomiale.
27 février 2001 ENST
Bretagne41
Conclusions
•L’Officier de Sécurité apprend “a posteriori” ce qui est arrivé dans le réseau.
•Toute la politique de contrôle d’accès doit être envoyée aux agents.
•Fournit des configurations plus efficaces par l’introduction d’un nouveau critère.
•Limite les interactions entre l’officier de sécurité et le système de gestion du contrôle d’accès.
•Supprime la possibilité de trous temporaires de sécurité.
•A la capacité de gérer le contrôle d’accès dans les réseaux IP/ATM.
Architecture distribuée de gestion automatique du contrôle d’accès
27 février 2001 ENST
Bretagne42
• Introduction
• Paramètres de contrôle d’accès
• Architectures de contrôle d’accès
• Gestion du contrôle d’accès
• Conclusion
Agenda
27 février 2001 ENST
Bretagne43
Conclusion
• Une étude des paramètres de contrôle d’accès ATM– Profils de protection par application.– Classement des paramètres en fonction de leur utilité.
• Deux architectures de contrôle d’accès pour les réseaux IP/ATM
– Prise en compte des paramètres de contrôle d’accès ATM.– Nouvelle architecture de contrôle d’accès / Algorithmes de classement traditionnels.– Architecture de contrôle d’accès traditionnelle / Nouveau Algorithme de classement.– Implémentation au moyen de cartes IFT.• Architecture de gestion automatique du contrôle
d’accès– Définition d’un nouveau critère de distribution.– Définition d’une nouvelle architecture permettant de supprimer les « trous de sécurité ».– Implémentation sur le simulateur ns.
27 février 2001 ENST
Bretagne44
Mais également ...
• Langages de description de politique de contrôle d’accès
– De bas niveau (Gestion du problème d hétérogénéité).– De haut niveau (Gestion du problème d’ergonomie).
• Architecture centralisée de gestion automatique du contrôle d’accès• Intégrité du service de contrôle d’accès
– Intégration de la notion d’intégrité du service de contrôle d’accès dans les architectures de gestion automatique.– Implémentation sur le simulateur ns.
27 février 2001 ENST
Bretagne45
Perspectives• Définition de paramètres
de niveau applicatif. • Amélioration de notre algorithme de classement.
• Utilisation de nouvelles cartes.
– Débit plus élevé.
– Profondeur d’analyse plus importante.
– Nouvelles fonctionnalités.
• Application à de nouveaux domaines (Cryptographie, Détection d’intrusion, Contrôle d’accès applicatif).
• Adaptation à d’autres services de sécurité.
• Prise en compte de la notion de confiance dans le problème d’intégrité du C.A.
27 février 2001 ENST
Bretagne46
Questions ?