enst bretagne le contrôle daccès dans les réseaux atm olivier paul thèse de doctorat de...

ENST Bretagne

Le contrôle d’accès dans les réseaux ATM

Olivier Paul

Thèse de doctorat de l’Université de Rennes I

ENST Bretagne

Département RSM

27 février 2001 ENST

Bretagne2

Agenda

• Introduction

• Paramètres de contrôle

d’accès

• Architectures de

contrôle d’accès

• Gestion du contrôle

d’accès

• Conclusion


Bretagne3

Le contrôle d ’accès• Service qui assure une protection contre une utilisation non autorisée

de ressources par une entité ou un groupe d’entités (ISO).

Réseau

Client Serveur

Firewall

Deny any 192.165.203.5 mput, put, cd, ls

access-list 101 permit tcp any gt 1023 192.165.203.5 0.0.0.0 eq 80

• Action

• Adresses source et destination• Protocole

• Application ou service utilisé


Bretagne4

Les réseaux ATM

• Spécifiés pour le transport de flux de natures variées.

• Permettent aux applications de demander au réseau des garanties de qualité de service.

• Débits « élevés ».

• Orientés connexion.

• Information transportée sous forme de cellules.

• Usages:

– Direct: Quelques applications ATM natives (ANS, VoD).

– Indirect: IP over ATM (IPOA, LANE, MPOA, MPLS): usage le plus courant.


Bretagne5

Firewall non applicatif

Réassemblage FragmentationClassementTampon

Firewall

Bus/

Matrice deCommutation

• Altération de la Qualité de Service (perte/délai) est fonction de l’utilisation du tampon.

• Le processus de classement et les opérations de copie sont considérés comme les points de blocage en terme de performance.


Bretagne6

Le problème du classement des flux

Classeurde flux

ProtoPorts

SourceAdresse

DestAdresseSource

Drap.PortsDest.

If Cond1 and Cond2 and Cond3 then action1

If Cond4 and Cond5 then action2

If Cond6 then action1

n règles portant sur d champs

Bornes théoriques:Bornes théoriques:

• Comp. Temporelle : O(log n)

Comp. Spatiale : O(n d).

• Comp. Temporelle: O(n)

Comp. Spatiale: O(log d-1 n).

d champs

Lakshman & al. [ACM SIGCOMM ‘ 98]


Bretagne7

Firewall non applicatif

Réassemblage FragmentationClassementTampon

Firewall

Bus/

Matrice deCommutation

• Altération de la Qualité de Service (perte/délai) est fonction de l’utilisation du tampon.

• Le processus de classement et les opérations de copie sont considérés comme les points de blocage en terme de performance.

• Vis à vis des réseaux ATM:

Débit Qualité de Service Paramètres


Bretagne8

Agenda

• Introduction

• Paramètres de contrôle

d’accès

• Architectures de


• Gestion du contrôle

d’accès

• Conclusion


Bretagne9

Paramètres de contrôle d’accès

Paramètres ATM

Paramètres TCP/IP

Déjà abondamment décrits

Informations d’adressage

Analyse des informations fournies par le modèle ATM

Existant

Nouvelles

attaques

Analogies avec les informations utilisées dans

les protocoles existants

Nouveaux paramètres de contrôle d’accès ATM

Catalogue classé des paramètres de contrôle d’accès ATM

Analyse des utilisations normalisées

Profils de contrôle d’accès par application


Bretagne10

Paramètres de contrôle d’accès ATM

Informations d’adressage

Informations fournies par la signalisation

Descripteurs de service

Descripteurs de qualité de Service

Nouvelles informations d’adressage

Informations « physiques »

Informations fournies par les en-têtes des cellules

Identificateurs de connexion

Type de flux

Existant


Bretagne11

Agenda

• Introduction

•Paramètres de contrôle d’accès

• Architectures de contrôle d’accès.

• Gestion du contrôle d’accès

• Conclusion


Bretagne12

Architectures de contrôle d’accès

Deux problèmes principaux à résoudre:

Performance du processus de classement

Garantie de la QoS

Architecture de contrôle d’accès par

agentsArchitecture de contrôle d’accès

centralisée

Distribution des calculs

Contrôle non bloquant

Processus de classement

rapide

Processus de classement à délai faible et

borné

Objectif: Fournir un service de contrôle d’accès:

– Pour les utilisations natives ATM.Utilisation des nouveaux paramètres de contrôle d’accès.– Pour les utilisations de type IP/ATM.Utilisation des paramètres de contrôle d’accès TCP/IP classiques.


Bretagne13

Contrôleur

Contrôleur

Politique

Politique

Architecture de contrôle d’accès par agentAmélioration des performances

ContrôleurRéseau ATM Interne Réseau ATM ExternePolitique

Processus de contrôle d’accès concurrents

Schuba [Ph.D. Thesis Purdue University 97]


Bretagne14

Architecture de contrôle d’accès par agentAmélioration des performances

Contrôleur

Réseau ATM Interne 1

Réseau ATM Externe

Contrôleur

Contrôleur



Politique

Politique

Politique

Spécialisation du contrôle d’accès par segmentation de la politique


Bretagne15

Architecture de contrôle d’accès par agentL’amélioration règle t’elle le problème du respect de la QoS ?• Si l’on peut s’assurer

– Que l’amélioration est toujours suffisante pour répondre aux débits soumis.– Que le processus de classement est à délai faible et borné.

• Alors: Oui.• Est-ce le cas des outils existants de contrôle d’accès ? : Non.Il convient donc d’assurer ce respect d’une autre manière.

Notre Idée: Un processus de contrôle d’accès non bloquant

La décision de contrôle d’accès se prend de manière indépendante du passage du flux sur le réseau.


Bretagne16

Architecture de contrôle d’accès par agentSi l’on ne bloque pas le flux, où trouver

l’information le décrivant ?

> Dans les piles protocolaires des éléments du réseau.

• Les équipements réseau gardent des informations sur les communications en cours dans leurs piles protocolaires.

ATMEnd

System 1

ATMSwitch

ATMEnd

System 2

External network

Line 1

Line 3

• Il est possible d’accéder à ces informations au moyen de programmes externes.

E. P.

E. P.E. P.

Line 2

ATMSwitch

• Nous avons montré que la plupart des informations utiles au contrôle d’accès peuvent y être trouvées.


Bretagne17

ATMEnd

System 1

ATMSwitch

ATMEnd

System 2

External network

Line 1

Line 3

Agent

AgentAgent

Line 2

ATMSwitch

Architecture de contrôle d’accès par agent

• L’idée de base est de modifier un tel logiciel et d’y introduire un processus de contrôle d’accès.

• Il les compare ensuite à une description des communications autorisées.

• Ce logiciel appelé agent lit périodiquement les valeurs décrivant les communications dans les piles protocolaires.

• Si la communication est interdite, l’agent interagit avec la pile protocolaire pour interrompre celle-ci.


Bretagne18

Conclusions

•Amélioration du C.A. ATM.

•Amélioration des performances.

•Garantie du respect de la QoS.

•Solution conforme à l’esprit ATM.

Architecture Asynchrone Distribuée

•Amélioration des performances difficiles à évaluer.

•Sécurité non garantie.

•Gestion des agents de C.A.


Bretagne19

Agenda

• Introduction

•Paramètres de contrôle d’accès

• Architectures de contrôle d’accès

– Architecture de contrôle d’accès par agent.

– Architecture de contrôle d’accès centralisée.

• Algorithme de classement.

• Cartes IFT.


• Conclusion


Bretagne20

Algorithmes de Classement déterministes

Possibilité de borner le temps de classement pour un flux et une politique donnés

• Algorithmes pour les politiques Statiques

– Rapides

– Utilisent les redondances pouvant être trouvées dans les politiques de contrôle d’accès

– Complexités spatiales et temporelles non bornées.

– Les opérations de génération et de mise à jour de la structure de Classement sont lentes.

• Algorithmes pour les politiques Dynamiques

– Relativement lents.

– Complexités spatiales et temporelles bornées.

– Complexités bornées pour les opérations de génération et de mise à jour de la structure de Classement.

– A même d ’être implanté sur les cartes IFT.


Bretagne21

Algorithme de Classement

• Soit : d le nombre de champs à analyser, n le nombre de règles dans la politique.

• Nous avons développé un Algorithme de Classement:

– Complexité temporelle : O(d).

– Complexité spatiale max. : O((2n+1)d).Compl. la plus faible, indépendante du nbre de règles

Inutilisable pour d = 4 et n = 50

• Dans la pratique Nous avons réussi à implanter des politiques de grande taille.

– En utilisant une méthode de compression de la structure de C.A.

Cependant !


Bretagne22

Implémentation

• Carte d’analyse de trafic (IFT) développée par FT R&D

• Caractéristiques:

– Mono-directionnelle.

– Connecteur physique ATM/OC12 (622Mb/s).

– Algorithme pour la construction de structure de classement non spécifié.

– Action : En fonction du contenu de la première cellule ATM d’une trame AAL5 et d’une structure de classement : commutation de la trame.

Classement

Tampon

IFT

ConnecteurPhysique

ConnecteurPhysiqueCommutation

Politique


Bretagne23

Contenu de la première cellule ATM

En tête IP TCP/UDP/ICMP

TCP/UDP/ICMP

En tête IP TCP/UDP/ICMPSNAP/LLC

En tête IP TCP/UDP/ICMPSNAP/LLC AAL5

En tête IP TCP/UDP/ICMPSNAP/LLCATM

TCP/UDP/ICMP

IP

SNAP/LLC

AAL5

ATM

53 octets

En tête IP avec options/ v6 TCP/UDP/ICMPSNAP/LLCATM


Bretagne24

Implémentation

• Carte d’analyse de trafic (IFT) développée par FT R&D

• Objectifs:

– Développer une architecture permettant de fournir un service de contrôle d’accès.

– Tester notre algorithme de classement pour vérifier que celui-ci répond à nos contraintes de performances et de QoS.

• Caractéristiques:

– Mono-directionnelle.

– Connecteur physique ATM/OC12 (622Mb/s).

– Algorithme pour la construction de structure de classement non spécifié.

– Action : En fonction du contenu de la première cellule ATM d’une trame AAL5 et d’une structure de classement : commutation de la trame.

Classement

Tampon

IFT

ConnecteurPhysique

ConnecteurPhysiqueCommutation

Politique


Bretagne25

Architecture

• Placée entre un réseau privé et un réseau public.

• Constituée de trois modules:

ATM ATM IFT IFT

SignallingFilter

Manager

SUN Station

IFT Driver

Demon

ATMSwitch

Solaris PC

InternalNetwork

ExternalNetwork

Controler

– Gestionnaire

– Filtre de signalisation.

– Filtre de niveau cellule.

• S’intègre à un commutateur ATM existant.


Bretagne26

Tests

• Débit et respect de la qualité de service.

<1,31 * 53 * 8 = 555 Mb/s

Capacité de classementminimale

Taille des cellules

Capacité de classement min. :

622 * 26/27= 598 Mb/s

Débit du connecteur physique

Coût couchephysique

Débit maximal à classer:

Tampon (8192 octets)délai max. = 120 s

• Mémoire nécessaire: exemples pratiques (9 champs) utilisant un cycle d’analyse de 15ns.

Type de politique Nombre de règles Capacité de Classement Mémoire utilisée[Che94], [Cha95] 40 1,31 Mc/s 17 K octets

750 1,31 Mc/s 1.5 M octetsISP Français 7900 1,31 Mc/s 3,4 M octets


Bretagne27

Conclusions

Architecture Centralisée

•Amélioration du C.A. ATM.

•Algorithme de classement et cartes IFT

– Déterministe.

– Garantissant une limite de modification de QoS.

– Garantissant un débit minimal.

– Peu sensible aux dénis de service.

•Problème avec IPv6.

•Algorithme limité aux politiques de contrôle d’accès statiques.


Bretagne28

Agenda

• Introduction

• Paramètres de contrôle d’accès



– Critères de distribution.

– Architecture de gestion répartie.

• Conclusion


Bretagne29

Gestion du contrôle d’accès

– Faire en sorte que la configuration de l’ensemble des équipements du réseau permette de rendre le service de C.A. défini par l’officier de sécurité.

• Assurer l’efficacité• Assurer la sécurité

– Utiliser le plus petit sous ensemble des règles de C. A. qui assure la politique de C. A.

• Il faut définir des critères afin de calculer ce sous ensemble.

• Problème 1: Gérer un ensemble d’équipements ayant des interfaces de configuration propriétaires (problème d’hétérogénéité).

• Solution: Méthode d’expression générique et ergonomique de la politique de C.A.

Contraintes

• Problème 2: Gérer des architectures de contrôle d’accès distribuées (Nombre important d’équipements de C.A. devant être configurés de manière distante).

• Solution: Méthode de configuration automatique.


Bretagne30

Critères

• Critère 1: Les capacités de contrôle d’accès de l’équipement.

– Une règle ne doit être attribuée qu’aux équipements se situant sur le chemin entre la source et la destination décrit par cette règle.

Source Destination

C.A.

C.A. C.A.

C.A.

C.A.

C.A.C.A.C.A.

C.A.

• Critère 2: La topologie du réseau.

IF SRC_ADDRESS = Source AND DST_ADDRESS = Destination THEN PERMIT

C.A.C.A.C.A.

C.A.

– Une règle ne doit pas être attribuée à un équipement si celui-ci n’a pas les capacités de contrôle d’accès pour l’appliquer.


Bretagne31

Critères

• Critère 3 (Nouveau): Le type de règle (autorisation/ interdiction)

– Il suffit qu’un équipement entre la source et la destination implémente la règle pour que la connexion soit interdite.

Source Destination

C.A.

C.A. C.A.

C.A.

C.A.

IF SRC_ADDRESS = Source AND DST_ADDRESS = Destination THEN DENY

C.A.C.A.

C.A.

C.A. C.A.C.A.C.A.

C.A.

C.A.


Bretagne32

Architectures centralisées de gestion du C.A.

Equipement 1 Equipement 3

Console Equipement 2

Officier de sécurité

Politique decontrôled’accès

Modèle du réseau

• Filtering Postures, J. Guttman, IEEE S&P 97.

• Firmato toolkit, Bartal & al., IEEE S&P 99.

• Policy based management, S. Hinrichs, ACSAC 99.

• An Asynchronous Distributed Access Control Architecture For IP Over ATM Networks, Paul & al. , ACSAC 99.

• Managing Security In Dynamic networks, Konstantinou & al., LISA 99.


Bretagne33

Modèle de réseau acyclique

Source Destination

CA

CA

CA

CA

IF SRC_ADDRESS = Source AND DST_ADDRESS = Destination THEN PERMIT

IF SRC_ADDRESS = Source AND DST_ADDRESS = Destination THEN DENY


Bretagne34

Modèle Acyclique (discussion)

Distribution répondant aux critères.

Les changements de topologie forcent l’Officier de Sécurité à re-configurer les équipements.

Source Destination

CA

CA

CA

CA


Bretagne35

Trous de sécurité

Le délai entre les changements de topologie et la re-configuration des équipements peut provoquer des trous de sécurité.

Source Destination

CA

CA

CA

CA

X

CA

CA


Bretagne36

Trous de sécurité

Le délai entre les changements de topologie et la re-configuration des équipements peut provoquer des trous de sécurité.

Source Destination

CA

CA

CA

CA

X

CA

CA

X


Bretagne37

Architecture distribuée de gestion du C.A.

Equipement 1 Equipement 3

Console

Officier de Sécurité

Politique decontrôled’accès

Equipement 2

• Management of network security application, Hyland & Sandhu, NISSC 98.

• Integrated management of network and host based security mechanisms, Falk & al., ACISP 98.


Bretagne38

Notre proposition

• Les agents interagissent avec d’autres éléments.

Equipement 1

Agent de routage

Equipement 3

Agent de routage

Equipement 2

Agent de routage

Equipement 4

Agent de routage

• Agents positionnés sur les équipements de C.A. Agent de GCA

Agent de GCAAgent de GCA

Equipement 5

Gestionnaire de CA

• Les agents assurent une configuration efficace des équipements de C.A. en appliquant nos 3 critères


Bretagne39

Notre proposition• Points clefs:

– Interaction continue entre l’agent et son environnement.

• Adaptation automatique de la politique de C.A.

Agent de routageAgent de gestion du


Mécanisme de contrôle d’accès

Tables de routage

– Les changements topologiques peuvent être appliqués une fois que la posture de C.A. a été calculée.

• Les trous de sécurité sont évités.

1 2

354


Bretagne40

Nombre total de règles dans le réseau/ Critères utilisés

0

10000

20000

30000

40000

50000

60000

70000

80000

Aucun critère Critère 1 Critère 2 Crit. 2 & 3 Tous les crit.Distribution automatique Distribution manuelle

L’usage de tous les critères conduit à un nombre de règles comparable à celui atteint par un configuration manuelle

Résultats simulatoires

Nombre total de règles/ Nombre de nœuds

1

10

100

1000

10000

100000

1000000

4 13 40 121

Nb de règles après opt.C3C1C2Nb de règles sans opt.

Le nombre de règles avec optimisation croit de manière linéaire avec le nombre d’équipements alors que le nombre de règles sans optimisation croit de manière polynomiale.


Bretagne41

Conclusions

•L’Officier de Sécurité apprend “a posteriori” ce qui est arrivé dans le réseau.

•Toute la politique de contrôle d’accès doit être envoyée aux agents.

•Fournit des configurations plus efficaces par l’introduction d’un nouveau critère.

•Limite les interactions entre l’officier de sécurité et le système de gestion du contrôle d’accès.

•Supprime la possibilité de trous temporaires de sécurité.

•A la capacité de gérer le contrôle d’accès dans les réseaux IP/ATM.

Architecture distribuée de gestion automatique du contrôle d’accès


Bretagne42

• Introduction

• Paramètres de contrôle d’accès



• Conclusion

Agenda


Bretagne43

Conclusion

• Une étude des paramètres de contrôle d’accès ATM– Profils de protection par application.– Classement des paramètres en fonction de leur utilité.

• Deux architectures de contrôle d’accès pour les réseaux IP/ATM

– Prise en compte des paramètres de contrôle d’accès ATM.– Nouvelle architecture de contrôle d’accès / Algorithmes de classement traditionnels.– Architecture de contrôle d’accès traditionnelle / Nouveau Algorithme de classement.– Implémentation au moyen de cartes IFT.• Architecture de gestion automatique du contrôle

d’accès– Définition d’un nouveau critère de distribution.– Définition d’une nouvelle architecture permettant de supprimer les « trous de sécurité ».– Implémentation sur le simulateur ns.


Bretagne44

Mais également ...

• Langages de description de politique de contrôle d’accès

– De bas niveau (Gestion du problème d hétérogénéité).– De haut niveau (Gestion du problème d’ergonomie).

• Architecture centralisée de gestion automatique du contrôle d’accès• Intégrité du service de contrôle d’accès

– Intégration de la notion d’intégrité du service de contrôle d’accès dans les architectures de gestion automatique.– Implémentation sur le simulateur ns.


Bretagne45

Perspectives• Définition de paramètres

de niveau applicatif. • Amélioration de notre algorithme de classement.

• Utilisation de nouvelles cartes.

– Débit plus élevé.

– Profondeur d’analyse plus importante.

– Nouvelles fonctionnalités.

• Application à de nouveaux domaines (Cryptographie, Détection d’intrusion, Contrôle d’accès applicatif).

• Adaptation à d’autres services de sécurité.

• Prise en compte de la notion de confiance dans le problème d’intégrité du C.A.


Bretagne46

Questions ?

enst bretagne le contrôle daccès dans les réseaux atm olivier paul thèse de doctorat de...

Documents