1 / 46

Gestion efficace du contrôle d’accès dans les réseaux

Gestion efficace du contrôle d’accès dans les réseaux. Olivier Paul Département RSM ENSTB. Plan. Introduction. Etat de l ’art. Résultats simulatoires. Conclusion. Réseau. Client. Serveur. access-list 101 permit tcp any gt 1023 192.165.203.5 0.0.0.0 eq 80. Introduction.

Download Presentation

Gestion efficace du contrôle d’accès dans les réseaux

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Gestion efficace du contrôle d’accès dans les réseaux Olivier Paul Département RSM ENSTB

  2. Plan • Introduction. • Etat de l ’art. • Résultats simulatoires. • Conclusion.

  3. Réseau Client Serveur access-list 101 permit tcp any gt 1023 192.165.203.5 0.0.0.0 eq 80 Introduction • Le contrôle d ’accès: • Service qui assure une protection contre une utilisation non autorisée de ressources par une entité ou un groupe d ’entité (ISO). Firewall

  4. Hétérogénéité des langages/outils • Les différences peuvent provoquer des erreurs de configuration • Le temps passé à étudier les différents langages est perdu pour des activités plus utiles

  5. Réseau 2 Réseau 1 Réseau 0 CA CA CA CA Terminal Nouvelles architectures Les architectures de contrôle d ’accès deviennent de plus en plus complexes. Internet

  6. Réseau 2 Réseau 1 Réseau 0 CA CA CA Vision globale de la sécurité Les politiques de sécurité doivent prendre en compte la globalité du service de contrôle d ’accès Internet

  7. Réseau 2 Réseau 1 Réseau 0 CA CA CA CA Terminal Conclusion Il est nécessaire de développer des outils de gestion automatique du contrôle d ’accès. Politique de contrôle d ’accès Internet

  8. Etat de l ’art (1) • Interface graphique • [Sam95]. • Langage formel • [Gu97], [Wil98]. • Langage de bas niveau • [Hin99], [Plg099], [Pfip98], [Plg199]. • Langage à base de rôle • [Fir99].

  9. Langage générique Langage générique Langage C Langage A Langage B Outil A Outil B Outil C

  10. Interface graphique • Mal adapté à l ’automatisation.

  11. Description formelle de la politique de C.A. • Permet de prouver que la distribution est correcte • Les utilisateurs !!! Langage formel Zones : a1,a2,…, ai, …, an Paquets : p1,p2,…, pi, …, pn Règle : ij(pk) Politique : P = {ij(pk)}

  12. Description pratique de la politique de C.A. Utilisation de langages génériques de bas niveau. Langage de bas niveau Autoriser la machine 192.165.203.5 à utiliser des serveurs WWW externes: IF (IP_SRC_ADDRESS = 192.165.203.5 255.255.255.255) AND (IP_DST_ADDRESS = 0.0.0.0 0.0.0.0) AND (SRC_PORT > 1023) AND (DST_PORT = 80) THEN PERMIT TRANSP_CONNECTION LEVEL1; IF (IP_SRC_ADDRESS = 0.0.0.0 0.0.0.0) AND (IP_DST_ADDRESS = 192.165.203.5 255.255.255.255) AND (SRC_PORT = 80) AND (DST_PORT > 1023) AND (TCP_FLAG <> SYN) THEN PERMIT TRANSP_CONNECTION LEVEL1;

  13. Description pratique de la politique de C.A. Utilisation de langages génériques de bas niveau. Langage de bas niveau • Les utilisateurs. • Comment faire avec 1000 machines ?

  14. Description pratique de la politique de C.A. Utilisation de rôles pour limiter la complexité. Service WWW (SRC_PORT > 1023) AND (DST_PORT = 80) Serveur WWW ServeurW3 <-> ClientW3 : Service WWW ClientW3 Politique de contrôle d ’accès instanciée 192.165.203.5, 192.165.203.6, 192.165.203.7 ServeurW3 193.203.165.3 Langage à base de rôles

  15. Etat de l ’art (2) • Distribution manuelle centralisée • [Sam95]. • Distribution automatique centralisée • [Gu97]. • [Fir99], [Plg099]. • [Hin99]. • Distribution automatique distribuée • [Pfip98]. • [Plg199].

  16. Distribution manuelle centralisée • Projet européen SAMSON achevé en 1995. Objectif: Faciliter la gestion d ’équipements de sécurité hétérogènes. • Outil graphique de configuration des équipements. • Indépendance vis à vis du protocole de gestion. Firewall 1 Firewall 3 Console Firewall 2

  17. Configurer chaque équipement de C. A. avec l ’ensemble des règles de C. A. Garantir l ’efficacité. Distribution automatique de la politique de contrôle d ’accès • Garantir la sécurité.

  18. Classification : • Complexité : O(log n), complexité spatiale : O(n c). • Complexité spatiale: O(n), complexité : O(log c-1 n). Garantir l ’efficacité If Cond1 and Cond2 and Cond3 then action1 If Cond4 and Cond5 then action2 If Cond6 then action1 Politique de n règles portant sur les c champs Routeur Dest ports Source ports Dest Address Source Address Flags Proto Paquet composé de c champs Le nombre de règle a un impact important sur le processus de classification

  19. Configurer chaque équipement de C. A. avec l ’ensemble des règles de C. A. Garantir l ’efficacité. Distribution automatique de la politique de contrôle d ’accès • Garantir la sécurité. • Utiliser le plus petit sous ensemble des règles de C. A. qui assure la politique de C. A. • Il faut définir des critères afin de calculer ce sous ensemble.

  20. Les capacités de contrôle d ’accès de l ’equipement. Une règle ne doit pas être attribuée à un équipement si celui-ci n ’a pas les capacités de contrôle d ’accès pour l ’appliquer. Rule 1: IF <Conditions at the IP level> Then <Action> Rule 2: IF <Conditions at the ATM level> Then <Action> Access Control Policy ATM Native Application ATM Native Application ATM C.A. END System Critère 1

  21. La topologie du réseau. Une règle ne doit être attribuée qu ’aux équipements se situant sur le chemin entre la source et la destination décrit par cette règle. C.A. C.A. C.A. C.A. C.A. C.A. C.A. C.A. Critère 2 IF SRC_ADDRESS = Source AND DST_ADDRESS = Destination THEN PERMIT C.A. C.A. C.A. Source Destination C.A. C.A.

  22. Le type de règle (autorisation/ interdiction) C.A. C.A. C.A. C.A. C.A. Critère 3 IF SRC_ADDRESS = Source AND DST_ADDRESS = Destination THEN DENY C.A. C.A. C.A. C.A. C.A. C.A. Source Destination C.A. C.A. C.A. • Il suffit qu ’un équipement entre la source et la destination implémente la règle pour que la connexion soit interdite.

  23. Politique de contrôle d ’accès Modèle du réseau Distribution automatique centralisée Officier de sécurité Firewall 1 Firewall 3 Console Firewall 2

  24. Distribution automatique centralisée • Définition de conditions statiques de distribution. • Basée sur un modèle du réseau. • Adaptation automatique de la politique par un équipement centralisé.

  25. Distribution automatique centralisée • Critère: Les capacités de contrôle d ’accès. r = {o  O}, e = {o ’  O} r  e ? C.A. C.A. Source Destination C.A. C.A.

  26. Distribution automatique centralisée • Critères: La topologie et le type de règle. • Modèle cyclique. C.A. C.A. Source Destination C.A. C.A.

  27. Distribution automatique centralisée • Modèle cyclique. • Résiste aux changements de topologie. • Distribution non optimale.

  28. Distribution automatique centralisée • Critère: La topologie et le type de règle. • Modèle acyclique. C.A. C.A. Source Destination C.A. C.A.

  29. Distribution automatique centralisée • Modèle acyclique. • Bonne optimisation. • Que faire en cas de changement de topologie ?

  30. Distribution automatique centralisée • Critère: La topologie et le type de règle. • Compromis. S S S C.A. C.A. Source Destination C.A. C.A.

  31. Distribution automatique centralisée • Compromis. • Facilité d ’utilisation et optimisation. • Pas optimal. • La taille du modèle si les changements topologiques sont internes.

  32. Distribution automatique centralisée • Définition de conditions statiques de distribution. • La quasi totalité des solutions commerciales existantes. • Modèle statique • Obligation de faire un compromis entre facilité de gestion et optimisation.

  33. Politique de contrôle d ’accès Distribution automatique répartie Officier de sécurité Firewall 1 Firewall 3 Console Firewall 2

  34. Distribution automatique répartie • Définition de conditions dynamiques de distribution. • Pas de modèle de réseau. • Adaptation automatique de la politique par les équipements de contrôle d ’accès.

  35. Agents placés sur les équipements de C. A. Agent de GCA Equipement 4 Equipement 5 Equipement 1 Equipement 3 Equipement 2 Gestionnaire de CA Agent de GCA Agent de GCA Architecture répartie de gestion du contrôle d ’accès Agent de routage • Agents assurent la configuration des équipements de C.A. en appliquant nos 3 critères. Agent de routage • Interagissent avec d ’autres éléments du réseau. Agent de routage Agent de routage

  36. Distribution automatique répartie • Définition de conditions dynamiques de distribution. • Pas de modèle • Comment s ’assurer que la politique est bien implémentée.

  37. Simulations • Objectifs: • Tester la correction des critères proposés. • Tester la correction des algorithmes proposés. • Tester les performances des critères. • En fonction de la topologie du réseau. • En fonction de la taille du réseau.

  38. Simulations • Implémentation sur le simulateur ns. • Utilisation des fonctions de routage. • ~1000 lignes Otcl, ~100 lignes C++. • Simplification de certains paramètres: • Relation GCA-AGCA. • Codage des règles. • Placement des agents. • PEICA basé sur IP.

  39. Définition d ’une politique « standard » de C.A. • Basé sur des politiques génériques [CB94], [CZ95]. • Modifications afin de refléter des politiques réelles. Type de règle Permit Deny Spécifiée 60 10 Non Spécifiée 5 5

  40. Conditions de test • Tests de différentes topologies. • Taille du réseau (4 -121). • Type de topologie (maillée, étoile). • Fonction des nœuds: • Nœuds de bordure: service de contrôle d ’accès complets. • Nœuds internes: service réduit.

  41. Résultats • Correction des critères • La distribution ne modifie pas les propriétés de contrôle d ’accès. • Les critères assurent une bonne répartition • Pour 40 nœuds, Topologie en étoile. • Min : 10 (10). • Max : 144 (140).

  42. Résultats • Performances • type de critère. • 40 nœuds. • Topologie en étoile.

  43. Résultats • Performances • Taille du réseau. • Topologie en étoile.

  44. Résultats • Performances • Type de topologie. • 40 nœuds.

  45. Distribution automatique de la politique de contrôle d ’accès. Langage générique d ’expression de la PCA. Architecture de gestion de la PCA. Conclusion • Distribution efficace. • Processus de contrôle d ’accès plus performant. • Adaptation automatique. • Libère l ’officier de sécurité de la gestion des modifications. • Réactivité importante.

  46. Sécurisation des communications externes. Implémentation. Comment s ’assurer que la politique de contrôle d ’accès est bien appliquée ? D ’autres critères de diminution de la taille des politiques de contrôle d ’accès ? Elargissement à d ’autres services (QoS, routage,...). Normalisation (IETF). Travaux futurs

More Related