Serveurs tolérant les intrusions sur Internet

Transcription

1 Serveurs tolérant les intrusions sur Internet Ayda Saïdane Sous la direction de : Y. Deswarte & V. Nicomette Groupe Tolérance aux fautes et Sûreté de Fonctionnement informatique Plan Problématique et approches classiques Tolérance aux fautes Cadre du travail: projet OASIS, DARPA Architecture proposée Bilan & perspectives

2 Approches classiques de la sécurité Internet: indispensable Impact sur la vie économique, sociale et culturelle Intégrité, confidentialité, disponibilité Créer des systèmes inattaquables Applications complexes vulnérabilités Réseau ouvert Grand nombres d attaques On est incapable d arrêter toutes les attaques Concepts de la sûreté de fonctionnement «la sûreté de fonctionnement d un système informatique est la propriété qui permet à ses utilisateurs de placer une confiance justifiée dans le service qu il leur délivre» [Laprie, 1992] DISPONIBILITE FIABILITE SECURITE -INNOCUITE ATTRIBUTS CONFIDENTIALITE INTEGRITE MAINTENABILITE SURETE DE FONCTIONNEMENT PREVENTION DES FAUTES TOLERANCE AUX FAUTES MOYENS ELIMINATION DES FAUTES PREVISION DES FAUTES ENTRAVES FAUTES ERREURS DEFAILLANCES Fautes accidentelles Malveillances

3 Faute, erreur & défaillance Faute Intrusion Attaque Faute BugH/W La cause adjugée ou supposée d une erreur Erreur La partie de l état du système qui est susceptible d entraîner une défaillance Défaillance Le service délivré dévie de l accomplissement de la fonction du système Tolérance aux fautes Faute Erreur Traitement d erreur Detection Evaluation des dégâts Recouvrement Traitement de de fautes Diagnostic Diagnostic Isolation Isolation Reconfiguration Reconfiguration Défaillances

4 Recouvrement d erreur Reprise Poursuite Compensation d erreur Plan Problématique et approches classiques Tolérance aux fautes Cadre du travail: projet OASIS, DARPA Architecture proposée Bilan & perspectives

5 Cadre du travail Programme OASIS Organically Assured and Survivable Information Systems, DARPA Concevoir, développer et valider des architectures, outils et techniques tolérants aux intrusions A partir de composants COTS Techniques de détection d erreurs et de Tolérance aux fautes Technologies de réaction aux attaques Méthodologies d évaluation et de validation des mécanismes de tolérance d intrusion SRI International, System Design Laboratory Objectifs Concevoir un serveur Internet sûr tolérant les intrusions à base de COTS Redondance des serveurs d application: diversification matériels/systèmes d exploitations/logiciels d applications Développer une politique de tolérance adaptative Politique basée sur le niveau d alerte (les rapports des capteurs (IDS), le consensus et les protocoles de défi/réponse) L intégrité et la disponibilité des données d application sont les propriétés critiques du système

6 Plan Problématique et approches classiques Tolérance aux fautes Cadre du travail: projet OASIS, DARPA Architecture proposée Bilan & perspectives Architecture générale TP: Proxies pour tol?rer les intrusions (Divers mat?riels/os/logiciels) AS: Serveurs d application (Divers mat?riels/os/logiciels) HP/UX/ Openview Server Solaris/Enterprise Server Firewall s?r WinNT/IIS Server Linux/Apache Redondance et diversification de matériels, logiciels et OS pour les TP et AS Les requêtes des clients sont vérifiées par un ensemble de TP Les réponses des AS sont validées par les TP avant d être envoyées es aux clients Les TP doivent assurer l intégrité et la disponibilité des données malgré les intrusions Une politique dynamique qui s adapte aux conditions du système.

7 Différents régimes de fonctionnements Principes: Augmenter progressivement la sévérité de la politique en cas de détection d erreur Bloquer les adresses IP suspectes pendant un certain temps Diminuer la sévérité après une période de fonctionnement correct AS corrompu (arrêté, renvoie mauvaise réponse): Renforcer progressivement la politique Réinitialiser le AS suspect à partir d une support de confiance Différents régimes de fonctionnement Régime bénin Un TP joue le rôle de médiateur Tous les TP peuvent jouer ce rôle Les requêtes sont distribuées sur les AS selon une stratégie d équilibre de charge Les ressources des AS sont utilisées complètement pour servir les requêtes des clients Un certain pourcentage de requêtes est traité par au moins 2 AS Tous les TP exécutent le Challenge/Response Protocol (CRP) Les TP contrôlent les AS et se surveillent mutuellement Les messages des IDS, CRP, observation réseau... Ce régime reste valable jusqu à l apparition de messages d erreurs Des IDS ou CRP

8 Différents régimes de fonctionnement Régime bénin Requête/réponse des clients Surveillance des capteurs IDS et CRP Proxies tolérant les intrusions (TP) Serveurs d application (AS) Firewall Leader Différents régimes de fonctionnement Régime duplex Requête/réponse des clients Surveillance des capteurs IDS et CRP Protocole de consensus Proxies tolérant les intrusions (TP) Serveurs d application (AS) Firewall Leader

9 Différents régimes de fonctionnement Régime triplex (complet) Requête/réponse des clients Surveillance des capteurs IDS et CRP Protocole de consensus Proxies tolérant les intrusions (TP) Serveurs d application (AS) Firewall Leader Implémentation d un proxy pour tolérer les intrusions Fonctionnalités de base (médiateur) Accepter les connections HTTP Lire les requêtes des clients Vérifier les requêtes Transmettre les requêtes aux AS Renvoyer les réponses aux clients Fonctionnalités implémentant la tolérance aux intrusions Changer de politique si nécessaire Valider les réponses par le protocole de consensus (politique dynamique adaptative) Exécuter CRP pour vérifier l intégrité de certains fichiers et processus

10 Challenge/Response Protocol (1) CRP CRP est lancé périodiquement par chaque TP pour tester les AS et les autres TP Si un TP ou un AS ne répond pas à un défi : alerter les autres TP pour prendre des mesures Vérifie l intégrité de certains fichiers ou processus sur les AS et TP. S il reçoit une mauvaise réponse : alerter les autres TP pour prendre des mesures Challenge/Response Protocol (2) 1. Utiliser des one-way-functions (f,h) telles que f(d,h(f))=h(d F) Mémoriser toutes les empreintes des fichiers à vérifier h(f) D, F R 1. Générer aléatoirement un défi D 2. Envoyer D et le nom du fichier F 3. Calculer la réponse Rc=f(D,H(F)) 4. Recevoir la réponse calculée R=h(D F) 5. Comparer Rc et R Mais On ne connaît pas de fonctions satisfaisantes

11 Challenge/Response Protocol (3) 2. Mémoriser plusieurs valeurs pour chaque fichier H(H I (CF) F) I entre 1 et N Choisir N tel que un défi soit exécuté une seule fois entre 2 redémarrages du proxy ou serveur testé CF CX CY D, F Cf,R 1. Calculer le défi D= H I (CF) (basé sur le schéma de Lamport) 2. Envoyer D et le nom du fichier F 3. Extraire la réponsepre-calculée Rc 4. Recevoir la réponse calculée R 5. Comparer Rc et R Plan Problématique et approches classiques Tolérance aux fautes Cadre du travail: projet OASIS, DARPA Architecture proposée Bilan & perspectives

12 Bilan & perspectives Redondance avec diversification Matériel/OS/logiciel Architecture de tolérance adaptative Niveau de redondance varie avec le niveau d alerte Prototype avec un seul proxy et différents serveurs d application Architecture multi-proxies Politique de consensus Serveurs tolérant les intrusions sur Internet Ayda Saïdane Sous la direction de : Y. Deswarte & V. Nicomette Groupe Tolérance aux fautes et Sûreté de Fonctionnement informatique