1 / 43

Conception et réalisation d’une architecture tolérant les intrusions pour des serveurs Internet

Conception et réalisation d’une architecture tolérant les intrusions pour des serveurs Internet. Ayda Saidane, Yves Deswarte, Vincent Nicomette Tolérance aux fautes et Sûreté de Fonctionnement informatique LAAS-CNRS Projet DIT (Programme DARPA OASIS). Internet : un réseau ouvert….

horace
Download Presentation

Conception et réalisation d’une architecture tolérant les intrusions pour des serveurs Internet

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Conception et réalisation d’une architecture tolérant les intrusions pour des serveurs Internet Ayda Saidane, Yves Deswarte, Vincent Nicomette Tolérance aux fautes et Sûreté de Fonctionnement informatique LAAS-CNRS Projet DIT (Programme DARPA OASIS)

  2. Internet : un réseau ouvert… • Environnement hétérogène • Différents types d’utilisations d’Internet : Commerciales (B2C), professionnelles (B2B), administratives (B2A, C2A, e-Gov), sociales, culturelles, … • Toutes ces utilisations sont légitimes • Tout le monde n’ a pas les mêmes besoins de sécurité • => Beaucoup de systèmes mal administrés Attaques de plus en plus efficaces • Des attaques de grande envergure en un minimum de temps • le ver Slammer (2003)  6 mois après l’annonce de la vulnérabilité; • le ver Witty (2004)  24 heures après l’annonce de la vulnérabilité

  3. Connexion des systèmes critiques à Internet Approches classiques insuffisantes • Renforcer l'authentification et l'autorisation  inapplicable pour des serveurs accessibles au public • Inefficaces contre les vulnérabilités  correction ("patches")… • Les systèmes sont trop complexes • Fonctionnalités standard • Utilisation des COTS • Rentabilité/sécurité Objectif :  Des systèmes capables de fournir le service pendant les attaques

  4. Systèmes cibles Serveurs publiant des informations ± critiques • Propriétés critiques : intégrité, disponibilité • Les données ne sont pas très confidentielles Par exemple: • Serveur publiant des alertes de sécurité • Fortes exigences en intégrité et disponibilité • Informations rarement mises à jour • Les mises à jours peuvent être faites hors-ligne • Serveur d’une agence de voyage sur Internet • Fortes exigences en intégrité et disponibilité • Système très dynamique  Les mises à jour doivent être faites en temps réel

  5. Objectifs • Concevoir un serveur Internet tolérant aux intrusions à base de COTS  • Fournir un bon compromis performance/sécurité • Assurer, en permanence, l’intégrité et la disponibilité des données 

  6. Caractéristiques des attaques • Contrairement aux fautes accidentelles • Les attaques ne sont pas indépendantes • Leur distribution n’est pas uniforme dans le temps • Les attaques visent des vulnérabilités spécifiques à un système ….exploitation, un logiciel d'application ou une plateforme matérielle

  7. Un serveur tolérant les intrusions Comportement en cas d’attaques Mise en œuvre et mesures de performances Bilan et perspectives

  8. Un serveur tolérant les intrusions Linux Apache Internet Solaris NetEntreprise Windows XP IIS MacOsX Apache Internet • Diversification . Matériel . OS . Logiciel

  9. Un serveur tolérant les intrusions Linux Apache Internet Solaris NetEntreprise Meneur Windows XP IIS • Envoie les requêtes aux serveurs (Meneur) MacOsX Apache • Diversification • Mandataires • Surveillance mutuelle • Surveillance des serveurs d’application • Gestion des alertes

  10. Un serveur tolérant les intrusions Prise de décision commune  Protocole d’accord Linux Apache Protocole d’accord sur les réponses Internet Solaris NetEntreprise Windows XP IIS MacOsX Apache Meneur Diversification Mandataires Mécanismes de détection • Protocole d’accord (PA)

  11. Un serveur tolérant les intrusions SNORT Linux Apache EMERALD EMERALD Internet Solaris NetEntreprise EMERALD EMERALD Windows XP IIS EMERALD EMERALD EMERALD MacOsX Apache Diversification Mandataires Mécanismes de détection • Protocole d’accord (PA) • Détection d’intrusion (IDS)

  12. Un serveur tolérant les intrusions serveur PDR serveur PDR serveur PDR Linux Apache Vérifieur PDR Défi + nom(fichier) serveur PDR Internet Solaris NetEntreprise serveur PDR H(Défi|fichier) Vérifieur PDR Vérifieur PDR serveur PDR Windows XP IIS serveur PDR Vérifieur PDR serveur PDR MacOsX Apache R = H(Défi|Fichier) / H : fonction de hachage Comparaison avec réponse pré-calculée Diversification Mandataires Mécanismes de détection • Protocole d’accord (PA) • Détection d’intrusion (IDS) • Protocole de Défi-Réponse

  13. Un serveur tolérant les intrusions Modèle de comportement = automate à états finis Internet Diversification Mandataires Mécanismes de détection • Protocole d’accord (PA) • Détection d’intrusion (IDS) • Protocole de défi-réponse • Vérification de modèle en ligne

  14. Un serveur tolérant les intrusions Reçoit et traite les alertes Décide des contre-mesures pour réagir à la détection d’une attaque / anomalie Internet Diversification Mandataires Mécanismes de détection Gestionnaire des alertes (G.A)

  15. Un serveur tolérant les intrusions Internet Gestionnaire d’alertes G.A Moniteur du protocole d‘accord Protocole d’accord Moniteur PDR Gestionnaire de Vérifieur en ligne la politique de G.A tolérance Moniteur SNORT Moniteur EMERALD Exécuteur Changement de rôle Autres Moniteurs G.A Diversification Mandataires Mécanismes de détection Gestionnaire des alertes (G.A)

  16. Un serveur tolérant les intrusions Linux Apache Simplex Internet Solaris NetEntreprise Windows XP IIS MacOsX Apache Meneur Diversification Mandataires Mécanismes de détection Gestionnaire des alertes (G.A) Régimes de fonctionnement • Simplex, duplex, triple redondance…

  17. Un serveur tolérant les intrusions Linux Apache Duplex Internet Solaris NetEntreprise Windows XP IIS MacOsX Apache Meneur Diversification Mandataires Mécanismes de détection Gestionnaire des alertes (G.A) Régimes de fonctionnement • Simplex, duplex, triple redondance…

  18. Un serveur tolérant les intrusions Linux Apache Internet Solaris NetEntreprise Windows XP IIS MacOsX Apache Triple redondance Meneur Diversification Mandataires Mécanismes de détection Gestionnaire des alertes (G.A) Régimes de fonctionnement • Simplex, duplex, triple redondance…

  19. Un serveur tolérant les intrusions Linux Apache Internet Solaris NetEntreprise Windows XP IIS MacOsX Apache SGBD TaF Adjudicateur Meneur Diversification Mandataires Mécanismes de détection Gestionnaire des alertes (G.A) Régimes de fonctionnement Gestion des données dynamiques

  20. Un serveur tolérant les intrusions Internet SGBD TaF Médiateur Adjudicateur Meneur Médiateur Médiateur Diversification Mandataires Mécanismes de détection Gestionnaire des alertes (G.A) Médiateur Régimes de fonctionnement Gestion des données dynamiques

  21. Un serveur tolérant les intrusions Alerte! Protocole d’accord : Serveur 3 corrompu ! IDR + serveur IDR + Rq. serveur IDR + serveurs IDR + Requête SELECT DROP SELECT Adjudicateur Mandataire Meneur auxiliaire Messages de contrôle Messages de contrôle Médiateur Médiateur Médiateur diateur diateur diateur 1 2 3 Serveur Serveur Serveur Serveur Serveur Serveur Serveur de bases de données tolérant aux fautes COTS COTS COTS COTS COTS COTS

  22. Un serveur tolérant les intrusions Vote IDR + serveur IDR + Rq. serveur IDR + serveurs IDR + Requête SELECT DROP REBOOT SELECT Adjudicateur Mandataire Meneur auxiliaire Messages de contrôle Messages de contrôle Médiateur Médiateur Médiateur diateur diateur diateur 1 2 3 Serveur Serveur Serveur Serveur Serveur Serveur Serveur de bases de données tolérant aux fautes COTS COTS COTS COTS COTS COTS

  23. Un serveur tolérant les intrusions Adjudicateur Mandataire Meneur auxiliaire Médiateur Médiateur Médiateur diateur diateur diateur 1 2 3 Serveur Serveur Serveur Serveur Serveur Serveur Serveur de bases de données tolérant aux fautes COTS COTS COTS COTS COTS COTS

  24. Objectifs Un serveur tolérant les intrusions Comportement en cas d’attaques Mise en œuvre et mesures de performances Bilan et perspectives

  25. Comportement en cas d’attaques Quelle est le composant ciblé par l’attaque ? • Mandataires • Serveurs d’application ou • Base de données

  26. Attaque contre les mandataires • Mécanismes de prévention • Des techniques de développement de logiciels critiques sont utilisés pour le développement des codes des mandataires • Système d’exploitation « allégé » • Un seul mandataire accessible de l’extérieur • Pare-feu • Mécanismes de tolérance • Mécanismes de détection diversifiés • Les mandataires se surveillent mutuellement

  27. Attaque contre les serveurs d’application • Mécanismes de prévention • Les types et nombre de serveurs répondants à une requête donnée sont inconnus • Le Meneur rejette les requêtes suspectes • Mécanismes de tolérance • L’attaque ne peut réussir que sur une petite minorité (1 seul) des serveurs (diversification matériel/OS/logiciel) • Les mécanismes de détection diversifiés

  28. Attaque contre la base de données • Mécanismes de prévention • Pas d’accès direct à la base de données • Bibliothèque spécifique d’accès à la base de données • Vérification syntaxique sur le Médiateur/Adjudicateur • Mécanismes de tolérance • Base de données tolérante aux fautes accidentelles • Protocole d’accord sur l’Adjudicateur • Recouvrement d’un Adjudicateur corrompu

  29. Recouvrement d’une intrusion • Recouvrement du Meneur ou de l’Adjudicateur • Élection d’un nouveau Meneur/Adjudicateur • Redémarrage du Meneur/Adjudicateur corrompu • Si l’adjudicateur est corrompu, défaire les dernières modifications sur la base de données • Recouvrement d’un mandataire auxiliaire • Redémarrage du mandataire corrompu • Recouvrement d’un serveur d’application • Redémarrage du serveur corrompu • Renvoi des requêtes en cours à d’autres serveurs (si besoin)

  30. Objectifs Un serveur tolérant les intrusions Comportement en cas d’attaques Mise en œuvre et mesures de performances Bilan et perspectives

  31. Plateforme expérimentale

  32. P.A DEBUT Hash(réponse) Première mesureTemps de traitement d’une requête sans accès à la base de données Fichier html 0 Octet Fichier html 44 KO Fichier html 1 MO

  33. DEBUT FIN Réponse complète Première mesureTemps de traitement d’une requête sans accès à la base de données Fichier html 0 Octet Fichier html 44 KO Fichier html 1 MO

  34. Première mesureTemps de traitement d’une requête sans accès à la base de données

  35. P.A Hash(réponse) DEBUT Deuxième mesureTemps de traitement d’une requête avec accès à la base de données

  36. Réponse complète DEBUT FIN Deuxième mesureTemps de traitement d’une requête avec accès à la base de données

  37. Durée de connexion à la BD (adjudicateur) Jusqu’à la fin du P.A (meneur) Temps global de la requête HTTP Deuxième mesureTemps de traitement d’une requête avec accès à la base de données

  38. DEBUT Alerte PDR REBOOT Vote + P.A Troisième mesureTemps de réponse à une alerte avec redémarrage du serveur corrompu

  39. Machine redémarrée Troisième mesureTemps de réponse à une alerte avec redémarrage du serveur corrompu FIN

  40. Troisième mesureTemps de réponse à une alerte avec redémarrage du serveur corrompu

  41. Objectifs Un serveur tolérant les intrusions Comportement en cas d’attaques Mise en œuvre et mesures de performances Bilan et perspectives

  42. Bilan • Une architecture générique tolérant les intrusions, répondant à trois • exigences fixées au préalable  : • utilisation des composants COTS • assurer l’intégrité des réponses et disponibilité du service, même pendant les attaques • un bon compromis entre sécurité et performances. • Intégration de différentes techniques de prévention, détection et . tolérance pour les fautes accidentelles les malveillances • Redondance avec diversification / Niveau de redondance variable • Gestion des alertes de différents niveaux de crédibilité • Un protocole de défi-réponse pour l’intégrité de serveurs distants • Performances prometteuses

  43. Perspectives • Evaluation de la généricité de l’architecture • Application de l’architecture à d’autres services • Application de l'architecture à des systèmes de très grande taille • Evaluer les limites de l'architecture de point de vue robustesse et performance • Évaluation quantitative et expérimentale de la sécurité • Des expérimentations plus poussées pour les mesures de performances • Validation formelle du déterminisme

More Related