Gestion efficace du contrle daccs dans les rseaux

1
Gestion efficace du contrôle daccès dans les
réseaux

• Olivier Paul
• Département RSM
• ENSTB

2
Plan

• Introduction.
• Etat de l art.
• Résultats simulatoires.
• Conclusion.

3
Introduction

• Le contrôle d accès
• Service qui assure une protection contre une
  utilisation non autorisée de ressources par une
  entité ou un groupe d entité (ISO).

Firewall
4
Hétérogénéité des langages/outils

• Les différences peuvent provoquer des erreurs de
  configuration
• Le temps passé à étudier les différents langages
  est perdu pour des activités plus utiles

5
Nouvelles architectures
Les architectures de contrôle d accès deviennent
de plus en plus complexes.
Internet
6
Vision globale de la sécurité
Les politiques de sécurité doivent prendre en
compte la globalité du service de contrôle
d accès
Internet
7
Conclusion
Il est nécessaire de développer des outils de
gestion automatique du contrôle d accès.
Internet
Politique de contrôle d accès
8
Etat de l art (1)

• Interface graphique
• Sam95.
• Langage formel
• Gu97, Wil98.
• Langage de bas niveau
• Hin99, Plg099, Pfip98, Plg199.
• Langage à base de rôle
• Fir99.

9
Langage générique
Langage générique
Langage C
Langage A
Langage B
Outil A
Outil B
Outil C
10
Interface graphique

• Mal adapté à l automatisation.

11
Langage formel

• Description formelle de la politique de C.A.

Zones a1,a2,, ai, , an
Paquets p1,p2,, pi, , pn
Règle ?ij(pk)
Politique P ?ij(pk)
12
Langage de bas niveau

• Description pratique de la politique de C.A.
• Utilisation de langages génériques de bas niveau.

Autoriser la machine 192.165.203.5 à utiliser
des serveurs WWW externes IF (IP_SRC_ADDRESS
192.165.203.5 255.255.255.255) AND
(IP_DST_ADDRESS 0.0.0.0 0.0.0.0) AND (SRC_PORT
gt 1023) AND (DST_PORT 80) THEN PERMIT
TRANSP_CONNECTION LEVEL1 IF (IP_SRC_ADDRESS
0.0.0.0 0.0.0.0) AND (IP_DST_ADDRESS
192.165.203.5 255.255.255.255) AND (SRC_PORT
80) AND (DST_PORT gt 1023) AND (TCP_FLAG ltgt SYN)
THEN PERMIT TRANSP_CONNECTION LEVEL1
13
Langage de bas niveau

• Description pratique de la politique de C.A.
• Utilisation de langages génériques de bas niveau.

• Les utilisateurs.

• Comment faire avec 1000 machines ?

14
Langage à base de rôles

• Description pratique de la politique de C.A.
• Utilisation de rôles pour limiter la complexité.

15
Etat de l art (2)

• Distribution manuelle centralisée
• Sam95.
• Distribution automatique centralisée
• Gu97.
• Fir99, Plg099.
• Hin99.
• Distribution automatique distribuée
• Pfip98.
• Plg199.

16
Distribution manuelle centralisée

• Projet européen SAMSON achevé en 1995. Objectif
  Faciliter la gestion d équipements de sécurité
  hétérogènes.

• Outil graphique de configuration des équipements.

• Indépendance vis à vis du protocole de gestion.

Firewall 1
Firewall 3
Firewall 2
Console
17
Distribution automatique de la politique de
contrôle d accès

• Garantir l efficacité.

• Garantir la sécurité.

• Configurer chaque équipement de C. A. avec
  l ensemble des règles de C. A.

18
Garantir l efficacité
If Cond1 and Cond2 and Cond3 then action1 If
Cond4 and Cond5 then action2 If Cond6 then action1
Politique de n règles portant sur les c champs
Routeur
Proto
Source ports
Dest Address
Source Address
Flags
Dest ports
Paquet composé de c champs
Le nombre de règle a un impact important sur le
processus de classification
19
Distribution automatique de la politique de
contrôle d accès

• Garantir l efficacité.

• Garantir la sécurité.

• Configurer chaque équipement de C. A. avec
  l ensemble des règles de C. A.

• Utiliser le plus petit sous ensemble des règles
  de C. A. qui assure la politique de C. A.

• Il faut définir des critères afin de calculer ce
  sous ensemble.

20
Critère 1

• Les capacités de contrôle d accès de
  l equipement.

• Une règle ne doit pas être attribuée à un
  équipement si celui-ci n a pas les capacités de
  contrôle d accès pour l appliquer.

21
Critère 2

• La topologie du réseau.

IF SRC_ADDRESS Source AND DST_ADDRESS
Destination THEN PERMIT
C.A.
C.A.
C.A.
Source
Destination
C.A.
C.A.

• Une règle ne doit être attribuée qu aux
  équipements se situant sur le chemin entre la
  source et la destination décrit par cette règle.

22
Critère 3

• Le type de règle (autorisation/ interdiction)

IF SRC_ADDRESS Source AND DST_ADDRESS
Destination THEN DENY
C.A.
C.A.
C.A.
C.A.
C.A.
C.A.
Source
Destination
C.A.
C.A.
C.A.

• Il suffit qu un équipement entre la source et la
  destination implémente la règle pour que la
  connexion soit interdite.

23
Distribution automatique centralisée
Officier de sécurité
Firewall 1
Firewall 3
Console
Firewall 2
24
Distribution automatique centralisée

• Définition de conditions statiques de
  distribution.

• Basée sur un modèle du réseau.

• Adaptation automatique de la politique par un
  équipement centralisé.

25
Distribution automatique centralisée

• Critère Les capacités de contrôle d accès.

r o ? O, e o  ? O r ? e ?
C.A.
C.A.
Source
Destination
C.A.
C.A.
26
Distribution automatique centralisée

• Critères La topologie et le type de règle.
• Modèle cyclique.

C.A.
C.A.
Source
Destination
C.A.
C.A.
27
Distribution automatique centralisée

• Modèle cyclique.

• Résiste aux changements de topologie.
• Distribution non optimale.

28
Distribution automatique centralisée

• Critère La topologie et le type de règle.
• Modèle acyclique.

C.A.
C.A.
Source
Destination
C.A.
C.A.
29
Distribution automatique centralisée

• Modèle acyclique.
• Bonne optimisation.
• Que faire en cas de changement de topologie ?

30
Distribution automatique centralisée

• Critère La topologie et le type de règle.
• Compromis.

S
S
S
C.A.
C.A.
Source
Destination
C.A.
C.A.
31
Distribution automatique centralisée

• Compromis.
• Facilité d utilisation et optimisation.
• Pas optimal.
• La taille du modèle si les changements
  topologiques sont internes.

32
Distribution automatique centralisée

• Définition de conditions statiques de
  distribution.

• La quasi totalité des solutions commerciales
  existantes.
• Modèle statique
• Obligation de faire un compromis entre facilité
  de gestion et optimisation.

33
Distribution automatique répartie
Officier de sécurité
Firewall 1
Firewall 3
Console
Firewall 2
34
Distribution automatique répartie

• Définition de conditions dynamiques de
  distribution.

• Pas de modèle de réseau.

• Adaptation automatique de la politique par les
  équipements de contrôle d accès.

35
Architecture répartie de gestion du contrôle
d accès
Agent de routage

• Agents assurent la configuration des équipements
  de C.A. en appliquant nos 3 critères.

Agent de routage

• Interagissent avec d autres éléments du réseau.

Agent de routage
Agent de routage
36
Distribution automatique répartie

• Définition de conditions dynamiques de
  distribution.

• Pas de modèle
• Comment s assurer que la politique est bien
  implémentée.

37
Simulations

• Objectifs
• Tester la correction des critères proposés.
• Tester la correction des algorithmes proposés.
• Tester les performances des critères.
• En fonction de la topologie du réseau.
• En fonction de la taille du réseau.

38
Simulations

• Implémentation sur le simulateur ns.
• Utilisation des fonctions de routage.
• 1000 lignes Otcl, 100 lignes C.
• Simplification de certains paramètres
• Relation GCA-AGCA.
• Codage des règles.
• Placement des agents.
• PEICA basé sur IP.

39
Définition d une politique  standard  de C.A.

• Basé sur des politiques génériques CB94,
  CZ95.
• Modifications afin de refléter des politiques
  réelles.

Type de règle Permit Deny Spécifiée 60 10 Non
Spécifiée 5 5
40
Conditions de test

• Tests de différentes topologies.
• Taille du réseau (4 -121).
• Type de topologie (maillée, étoile).
• Fonction des nuds
• Nuds de bordure service de contrôle d accès
  complets.
• Nuds internes service réduit.

41
Résultats

• Correction des critères
• La distribution ne modifie pas les propriétés de
  contrôle d accès.
• Les critères assurent une bonne répartition
• Pour 40 nuds, Topologie en étoile.
• Min 10 (10).
• Max 144 (140).

42
Résultats

• Performances
• type de critère.
• 40 nuds.
• Topologie en étoile.

43
Résultats

• Performances
• Taille du réseau.
• Topologie en étoile.

44
Résultats

• Performances
• Type de topologie.
• 40 nuds.

45
Conclusion

• Distribution automatique de la politique de
  contrôle d accès.
• Langage générique d expression de la PCA.
• Architecture de gestion de la PCA.

• Distribution efficace.
• Processus de contrôle d accès plus performant.
• Adaptation automatique.
• Libère l officier de sécurité de la gestion des
  modifications.
• Réactivité importante.

46
Travaux futurs

• Sécurisation des communications externes.
• Implémentation.
• Comment s assurer que la politique de contrôle
  d accès est bien appliquée ?
• D autres critères de diminution de la taille des
  politiques de contrôle d accès ?
• Elargissement à d autres services (QoS,
  routage,...).
• Normalisation (IETF).