Gestion des contres mesures dans un réseau suite à des règles d une politique de sécurité dynamique Prof. Hervé Debar Prof. Frédéric Cuppens Prof. Nora Cuppens Nizar KHEIR Mercredi le 09 mai 2007 France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 01
Politique de sécurité dynamique - Ensemble de codes de conduites, dont le but est de gérer les contrôles d accès. - Le dynamisme des règles de la politique de sécurité permet de modifier l état de «fonctionnement» du système. - La modification de l état du système, suite à la modification des règles de sécurité, peut bien générer des contres mesures suite à des menaces, ou bien états d intrusions. France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 02
Architecture de notre système Instanciation de Politiques de sécurité Plateforme de détection d intrusion Plateforme de renforcement France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 03
Plateforme de détection d intrusion -Supervision du système. -Génération, agrégation et corrélation des alertes. Génération Simple event correlator Corrélation Sonde Sonde Prelude manager Fichier d alertes Librairie Libprelude Sonde Agrégation <IDMEF> <alert/> </IDMEF> France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 04
Instanciation de la politique de sécurité «Extrait du travail de thèse de Yohann Thomas» -Activation des contextes OrBAC à partir des alertes en format IDMEF. -Instanciation de règles de sécurité concrètes suite aux contextes activés. Politique de sécurité OrBAC Alertes IDMEF PIE Règles de sécurité Fichier de règles <Rule Prohibition> <subject/> <action/> <object/> </Rule> France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 05
Plateforme de renforcement de la politique - Projection des règles de la politique de sécurité, sur le plan architectural du réseau, parallèlement aux éléments de contre mesure dans notre système. - C est-à-dire la mise en œuvre d une règle de sécurité suppose: a) La localisation, et la détermination complète des éléments concernés par cette règle. b) La disposition des différents agents reconfigurables dans le système, de sorte à pouvoir lister les mesures possibles. - Passons à un exemple. France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 06
Plateforme de renforcement de la politique Is_Prohibited (Bob, Pop_Login, Bob_mbox) - Plusieurs exigences émergent (Point de vue architecture du réseau): a) Spécifier processus permettant l accès à la boite aux lettres de Bob. b) Identifier la machine sur laquelle tourne ce processus. c) Identifier les chemins possibles dans le réseau. - Plusieurs questions se posent (Point de vue agents de sécurité): a) Peut on reconfigurer le serveur de sorte que Bob ne pourra plus accéder à sa boite aux lettres? b) Si oui, c est bien. Sinon, que peut on faire? Interdire à Bob d accéder au serveur tout entier? Interdire Bob de s authentifier auprès du serveur de messagerie? Y a t il d autres solutions? Comment peut on les envisager? France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 07
Représentation du réseau -Un module de renforcement des règles de sécurité doit pouvoir répondre aux questions déjà posées. -Il faut alors pouvoir reconnaître un modèle pour le réseau, que l on peut apprendre à ce module, et dans lequel se représentent toutes les ressources de notre système. -Ce modèle ne doit pas seulement représenter les différentes ressources du système, mais il doit encore sans doute représenter les dépendances entre ces ressources. -Ces dépendances doivent nous permettre, d une façon, ou d une autre, de faire identifier des moyens possibles afin de pouvoir appliquer une règle de sécurité. -Finalement, et avant de représenter notre modèle, on note que ce modèle permet juste de spécifier les mesures possibles, mais ne permet pas d en choisir celle qui est optimale. France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 08
0.. * Resource Rid State Depend Aspect Access Rely SubRef Type Mode 0.. * Path Path_id Src_network Dst_network Service Name filter_module 0.. * Network 2.. * Access offer Process Process_id Interface Interface_Id Ip_address Netmask 1.. * Host Name If_Router Execute Port Script France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 09
Parcours du modèle (1) Dans ce modèle, on retrouve: -Une distinction claire entre les différents niveaux qui caractérisent les différentes ressources du réseau: réseau, service et application. -Le parcours vertical de ce modèle reflète la relation de dépendance de construction entre les diverses entités: «Une ressource est accessible grâce à un service fournit par un processus qui tourne sur une machine connectée au réseau par son(ses) interface(s)» -Les relations de dépendances nous permettent à leur tour de faire un parcours horizontal du modèle. Modifiant parfois la cible de la contre mesure, tout en assurant l objectif essentiel, qui est l application de la règle de sécurité. France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 10
Parcours du modèle (2) -Ayant Représenté les objets et leurs dépendances, Il faut définir une classe d actions qu on peut appliquer pour chacune des trois couches. -Ces actions dépendent des spécifications de la politique de sécurité. -La granularité des actions est proportionnelle à la couche en question. Couche Actions Envisageables Exemples Application Service Processus Réseau Requêtes spécifiques à chaque service Accès au service «Arrêt / Démarrage» du processus Accès à la machine http: Get / Post. MySQL: Select / Update. Pop3: (Deny/Allow) tcp / 110. http: (Deny/Allow) tcp / 80. http:./apachectl stop / start kill HUP Popd_pid Quarantine Host_Ip Deny Ip / tcp / udp Host_Ip France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 11
Exemple (1) MEL1 MEL-Server1 False Bob_mbox Bob@wanadoo.com static Pop3 Read Pop SpamAssassin Popd 14 327 Interface eth3 10.193.192.21 255.255.192.0 Is_Prohibited (Bob, Pop_Login, Bob_mbox) Execute Tcp/110./etc/popd Depend Logic Search Rely Structural Pre-Requisit Service-Oriented Path P_192_128 10.193.192.0 10.193.128.0 Execute Tcp/389./etc/slapd Interface eth1 10.193.128.43 255.255.192.0 Bob_LDAP_entry Rdn: uid = bob static LDAP OpenLDAP Embedded Slapd 8 159 Act Dir Active-Directory False France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 12
Exemple (2) Is_Prohibited (Bob, Pop_Login, Bob_mbox) Begin at Ressource Layer Set PEP request Yes Pop filter_module? No Down to service layer Not exist Test Resource dependencies exist Check AD «DN» entries with LDAP Search Request Check Network Architecture Possible Deny (Bob_IP, tcp/110,exchange server) Not Possible Test Service Dependencies Not exist ( & ) Service continuity Switch to Pre - Requisit Dependencies Check Strategy Priority for safe side: Block existing sessions Switch to Co - Requisit Dependencies France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 13 exist
Exemple (3) Is_Prohibited (Bob, Pop_Login, Bob_mbox) ( & ) Check Strategy for contexts and subject considerations Severe, Object oriented, (1). Down to network layer Identify threat severity due to strategy User oriented Object oriented Quarantine/flow filtering for service host Quarantine/flow filtering for subject host Check for substitute services (2) Kill Popd Process (1) De tels cas pourront être envisagé si par exemple un sous réseau entier n a plus le droit d utiliser le Pop, vraisemblablement il y a une faille de sécurité. (2) Comme par exemple https au lieu de http, Imap au lieu de Pop, etc France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 14
Travaux futures - Dans cette présentation, on a essayé de lister, d une façon automatisée, les différents moyens possibles afin de faire appliquer une règle de sécurité. - Ces moyens se distinguent du point de vue précision de la contre mesure, et son coût par rapport à la continuité de service du point de vue du sujet concerné, et des autres utilisateurs du réseau.. - Une approche utile sera de faire évaluer ces paramètres, afin de pouvoir sélectionner la meilleure contre mesure. France télécom R&D Caen. 42 Rue des Coutures. Laboratoire MAPS - NSS Page 15