N o Ordre : 2483 THÈSE présentée DEVANT L UNIVERSITÉ DE RENNES 1 pour obtenir le grade de : DOCTEUR DE L UNIVERSITÉ DE RENNES 1 Mention : INFORMATIQUE École Doctorale : Mathématique, Informatique, Signal, Électronique et Télécommunications PAR Olivier Paul Équipe d accueil : Composante Universitaire : Département Réseaux et Services Multimédia, ENST de Bretagne Institut de Formation Supérieure en Informatique et Communication TITRE DE LA THÈSE Le contrôle d accès dans les réseaux ATM SOUTENUE LE 27 Février 2001 devant la Commission d Examen COMPOSITION DU JURY M. Daniel Herman Professeur, Université de Rennes 1 Président M. Gerardo Rubino Directeur de Recherche, INRIA Directeur Scientifique M. Fréderic Cuppens Chargé de Recherche HDR, ONERA Rapporteur M. Refik Molva Professeur, Institut Eurecom Rapporteur M. Sylvain Gombault Enseignant Chercheur, ENSTB Examinateur Mme Maryline Laurent Maître de Conférence, INT Examinateur M. Pierre Rolin Professeur, France Telecom R&D Examinateur
D'ar re am c'har... A ceux qui m aiment...
Remerciements Je suis reconnaissant à Pierre Rolin et Gérardo Rubino de m avoir accueilli dans le département RSM. Je les remercie pour les conseils judicieux qu ils m ont donné tout au long de ma thèse ainsi que pour la confiance et la liberté qu ils m ont accordé. Mes remerciements vont également à Maryline Laurent et Sylvain Gombault qui m ont efficacement encadré pendant ces trois années. Je les remercie pour tous les efforts par lesquels ils ont contribué à l avancement de mes travaux. Ma gratitude va également à MM. Frédéric Cuppens et Refik Molva qui m ont fait l honneur d être rapporteurs de cette thèse. Je tiens également à remercier M. Daniel Herman d avoir accepté d être membre de mon jury. Cette thèse a été réalisée grâce au soutien financier de la DRET (Direction des Recherches et Etudes Techniques). Je remercie les membres de cet organisme de m avoir offert la possibilité de réaliser ces travaux. Une grande partie de mes travaux n auraient jamais été possibles sans le soutien matériel et intellectuel des membres de la DRET et de France Telecom-RD. Je tiens de ce fait à remercier MM. Yves Lepape, Anthony Lucas, Jean-Jacques Maret, Benoît Martin du CELAR et MM. Christian Duret, Hervé Guesdon, Valery Laspreses, Joël Lattmann, Jacques Le Moal, Jean-Louis Simon de France Telecom-RD. Mes remerciements vont également aux étudiants de l ENST de bretagne et du DESS ISA ayant collaboré par leurs travaux à la réalisation de cette thèse. Je veux aussi remercier toutes les personnes du campus de Rennes qui par leurs conseils, leur bonne humeur et leur gentillesse ont contribué à la réalisation de cette thèse. Une thèse est souvent l aboutissement de nombreuses années d étude. Je voudrais à ce sujet remercier les professeurs qui m ont montré combien le domaine de l informatique et des télécommunications pouvait être riche et intéressant. Je tiens en particulier à remercier Christian Lagache qui m a fait découvrir ce domaine il y a maintenant 15 ans. Je tiens par ailleurs à exprimer ma reconnaissance envers mes amis, qui par leur amitié ont grandement aidé à faire du marathon qu est la thèse une expérience surmontable. Merci en particulier à Leila et Octavio avec qui j ai partagé beaucoup de bons moments durant ces années à Rennes. Merci enfin à ma famille par son soutien constant et sa confiance durant toutes ces années.
Le contrôle d accès dans les réseaux ATM Cette thèse se place dans le cadre de réseaux assurant des débits élevés et offrant aux utilisateurs la possibilité de différencier le traitement des flux transportés. Ces propriétés, telles qu elles apparaissent dans les réseaux ATM, peuvent poser des problèmes lorsqu elles sont utilisées en combinaison avec des pare-feux. Ces derniers ne sont pas adaptés à la prise en compte de la qualité de service pouvant être négociée par les utilisateurs. D autre part, ils ne sont pas non plus conçus pour traiter des débits importants. Enfin ils sont généralement incapables de prendre en compte les paramètres de contrôle d accès propres aux réseaux ATM. Dans ce document, nous proposons, après un état de l art détaillé, de résoudre ces trois problèmes. Nous répertorions et classifions tout d abord les paramètres de contrôle d accès propres aux réseaux ATM. Nous montrons ensuite comment ces paramètres peuvent être utilisés dans deux nouvelles architectures de contrôle d accès pour les réseaux de type IP sur ATM. Nous montrons que celles-ci sont à même de résoudre les problèmes de débit et de respect de la qualité de service. Pour cela, notre première architecture se base sur un mécanisme de contrôle d accès distribué et non bloquant alors que notre seconde proposition repose sur un nouvel algorithme de classification rapide de flux. Enfin, notre troisième contribution concerne la mise au point de techniques permettant aux architectures distribuées de contrôle d accès de pouvoir être gérées de manière sûre et efficace. Mots Clés: ATM, TCP/IP, Pare-feu, Contrôle d accès, Architecture de gestion, Sécurité des réseaux. Access Control in ATM Networks This thesis considers the introduction of new techniques insuring high throughput and services differentiation for customers in public and private networks. ATM networks are a good example where these techniques have been successfully deployed. However these techniques cannot be used with firewalls for several reasons. Firewalls are not designed to respect quality of service and usually cannot support high throughputs. Moreover, firewalls do not take ATM access control parameters into account. The goal of this thesis is to deal with these three problems. We first provide and classify ATM access control parameters. We then focus on IP over ATM network architectures and show how these parameters can be used in two new access control architectures. These architectures are designed to provide high throughput while respecting the ATM quality of service. The first architecture reaches this goal by using a distributed and asynchronous access control process while our second proposal defines a new flow classification scheme in order to speed up existing access control architectures. Our third contribution develops new techniques allowing distributed access control architectures to be managed securely and efficiently. Keywords: ATM, TCP/IP, Firewall, Access Control, Management Architectures, Network Security.
Table des Matières Chapitre 1. Introduction... 7 Chapitre 2. Le contrôle d accès réseau et sa gestion... 9 1. Introduction... 9 2. Un classement des mécanismes de contrôle d accès réseau... 10 2.1. Synchronisme du contrôle d accès... 11 2.1.1. Approche non bloquante... 11 2.1.2. Approche bloquante...12 2.2. Position topologique du contrôle d accès... 12 2.2.1. Approche centralisée... 12 2.2.2. Approche distribuée... 13 2.3. Niveau protocolaire du contrôle d accès... 13 2.3.1. Niveau Liaison de donnée/réseau... 14 2.3.2. Niveau Transport... 14 2.3.3. Niveau Applicatif... 14 2.4. Quelques exemples d architectures existantes... 15 2.4.1. Centralisée et bloquante aux niveaux transport et application: le firewall... 15 2.4.2. Centralisée et non bloquante au niveau transport: l analyseur de sécurité... 16 2.4.3. Distribuée et bloquante aux niveaux transport et application: le firewall distribué... 17 3. Algorithmes utilisés par les mécanismes de contrôle d accès... 18 3.1. Le problème du classement des flux... 18 3.2. Solution traditionnelle: Algorithme linéaire... 18 3.3. Améliorations récentes... 19 3.3.1. Utilisation de mémoires caches... 19 3.3.2. Parallélisation du processus de classement... 20 3.3.3. Utilisation des informations redondantes des politiques de contrôle d accès... 21 1
Le contrôle d accès dans les réseaux ATM - Table des Matières 3.3.4. Améliorations algorithmiques...23 3.4. Conclusion......24 4. La gestion du contrôle d accès...25 4.1. Approches traditionnelles...25 4.1.1. Interfaces de configuration des outils de contrôle d accès...25 4.1.2. Plate-formes d administration du contrôle d accès...26 4.2. Autres propositions...27 4.2.1. Introduction......27 4.2.2. Expression générique d une politique de contrôle d accès...27 4.2.2.1. Langage formel...27 4.2.2.2. Langages de bas niveau à base de règles...28 4.2.2.3. Langage à base de rôles...28 4.2.2.4. Langage déclaratif de haut niveau...28 4.2.3. Optimisations utilisées pour la distribution de la politique de contrôle d accès...29 4.2.3.1. Optimisation basée sur les capacités de contrôle d accès...29 4.2.3.2. Optimisation basée sur la topologie...29 4.2.4. Implémentation des mécanismes de distribution...29 4.2.4.1. Méthodes centralisées...29 4.2.4.2. Méthodes distribuées...31 4.3. Conclusion...31 5. L intégrité du contrôle d accès...32 5.1. Introduction...32 5.2. Intégrité physique des équipements...32 5.3. Intégrité logique des équipements...32 5.3.1. Modèles théoriques...32 5.3.2. Système à contrôle d accès discrétionnaire...33 5.3.3. Utilisation de configurations particulières...33 5.3.4. Système à contrôle d accès obligatoire...34 5.3.5. Systèmes d audit...34 5.3.6. Conclusion...34 5.4. Intégrité des communications...35 6. Conclusion...36 Chapitre 3. Le contrôle d accès dans les réseaux ATM... 37 1. La technologie ATM...37 1.1. Introduction...37 1.2. Modèle de référence ATM...37 1.3. Utilisation des réseaux ATM...38 2. Le firewall...39 2.1. Utilisation dans un environnement LANE...39 2.2. Utilisation dans un environnement CLIP...40 2.3. Utilisation dans un environnement MPOA...41 2
Le contrôle d accès dans les réseaux ATM - Table des Matières 3. Etude critique de l utilisation du firewall dans un environnement ATM... 42 3.1. Contrôle d accès et contrat de trafic... 42 3.1.1. Introduction... 42 3.1.1.1. Contrat de trafic... 42 3.1.1.2. Classes de service... 43 3.1.2. Limites du firewall... 44 3.1.3. Conclusion... 45 3.2. Limites dues à la faible prise en compte du réseau ATM... 46 3.3. Conclusion... 46 4. Le contrôle d accès dans les réseaux ATM... 47 4.1. Le contrôle d accès selon l ATM Forum...47 4.2. Solutions industrielles... 47 4.2.1. Les commutateurs filtrants... 47 4.2.2. Firewall ATM... 48 4.3. Solutions académiques... 49 4.3.1. Solution basée sur un circuit d analyse de cellule ATM... 49 4.3.2. Solution basée sur le classement des trafics... 50 5. Conclusion... 52 Chapitre 4. Paramètres de contrôle d accès...55 1. Introduction... 55 2. Recherche des paramètres de contrôle d accès de niveau ATM... 56 2.1. Au niveau cellule... 56 2.1.1. Partie contrôle... 56 2.1.2. Partie données... 57 2.1.2.1. Plans utilisateur et contrôle... 57 2.1.2.2. Plan de gestion... 58 2.2. Au niveau trame... 58 2.3. Au niveau signalisation... 59 3. Caractérisation des utilisations normalisées des réseaux ATM... 63 3.1. Utilisations... 64 3.1.1. Classical IP over ATM... 64 3.1.2. LAN émulé... 64 3.1.3. MPOA... 66 3.1.4. CES... 67 3.1.5. VTOA... 67 3.1.6. Applications... 68 3.1.6.1. ANS... 68 3.1.6.2. AMS... 69 3.2. Analyse... 69 3.2.1. Couches non applicatives... 69 3.2.1.1. Connexions permanentes... 69 3
Le contrôle d accès dans les réseaux ATM - Table des Matières 3.2.1.2. Connexions dynamiques...70 3.2.2. Couche applicative......70 4. Classement des paramètres ATM...71 5. Conclusion...73 Chapitre 5. Mécanismes de contrôle d accès... 75 1. Introduction...75 2. Contrôle d accès distribué asynchrone par agent...76 2.1. Généralités...76 2.2. Paramètres de contrôle d accès...77 2.2.1. Mécanismes de gestion des réseaux...77 2.2.2. Niveau ATM...78 2.2.3. Niveau TCP/IP...78 2.2.4. Niveau Application...78 2.2.5. Conclusion...79 2.3. Architecture...79 2.4. Conclusion...82 3. Contrôle d accès synchrone centralisé...82 3.1. Cartes IFTs...83 3.1.1. Introduction...83 3.1.2. La mémoire Trie...83 3.1.3. Paramètres de contrôle d accès...85 3.1.3.1. Niveau ATM...85 3.1.3.2. Niveau TCP/IP...85 3.1.3.3. Actions...86 3.2. Algorithme de classement...87 3.2.1. Algorithme de base...87 3.2.2. Compression de la structure de classement...90 3.2.3. Complexités de l algorithme de classement...90 3.3. Architecture...91 3.3.1. Approche générale...91 3.3.2. Module de gestion...92 3.3.3. Module d analyse et de filtrage de la signalisation...93 3.3.4. Module d analyse de niveau cellule...95 3.4. Implémentation...97 3.4.1. Tests de l analyseur de signalisation...97 3.4.2. Tests des IFTs...98 3.4.3. Conclusion...100 3.5. Conclusion...102 4. Conclusion...103 4
Le contrôle d accès dans les réseaux ATM - Table des Matières Chapitre 6. Gestion du contrôle d accès...105 1. Introduction... 105 2. Définition d un langage générique de contrôle d accès... 106 2.1. Langage de bas niveau... 106 2.2. Langage à base de rôle... 107 3. Définition d une architecture de gestion du contrôle d accès... 108 3.1. Introduction... 108 3.2. Architecture centralisée... 109 3.2.1. Vue générale... 109 3.2.2. Architecture de l agent... 110 3.2.3. Modèle du réseau...111 3.2.4. Distribution des règles...112 3.2.5. Conclusion... 114 3.3. Architecture répartie... 114 3.3.1. Introduction... 114 3.3.2. Architecture... 116 3.3.3. Simulations... 118 3.3.4. Conclusion... 121 3.4. Conclusion... 123 4. Intégrité du contrôle d accès par redondance... 123 4.1. Introduction... 123 4.2. Principe... 124 4.3. Simulations... 124 4.3.1. Introduction... 124 4.3.2. Résultats théoriques...125 4.3.3. Résultats de simulation... 125 4.4. Conclusion... 127 5. Conclusion... 127 Chapitre 7. Conclusion...129 1. Analyse... 129 2. Travaux futurs... 132 2.1. Paramètres de contrôle d accès... 132 2.2. Mécanismes de contrôle d accès... 133 2.3. Gestion du contrôle d accès... 134 2.4. Intégrité du contrôle d accès... 135 Chapitre 8. Références bibliographiques...137 Chapitre 9. Annexes...149 1. Annexes du chapitre 4... 149 1.1. Abréviations des messages de signalisation... 149 5
Le contrôle d accès dans les réseaux ATM - Table des Matières 1.2. Abréviations des IEs......149 1.3. Relations entre IEs et messages de signalisation...151 2. Annexes du chapitre 5...153 2.1. Informations relevant du modèle ATM...153 2.2. Informations relevant du niveau transport...155 2.3. Informations applicatives...155 3. Annexes du chapitre 6...156 3.1. Grammaire des langages proposés...156 3.1.1. Langage de bas niveau...156 3.1.2. Langage à base de rôles...160 3.2. Algorithmes utilisés...166 3.2.1. MIR dans le cas de RIP...166 3.2.2. MIR dans le cas de PNNI...166 Liste des figures... 169 Liste des tableaux... 171 Liste des acronymes... 173 6
CHAPITRE 1 Introduction Dans ce chapitre nous définissons la problématique abordée dans ce document. L apparition dans les dernières années de nouvelles applications et de nouveaux besoins en terme de communication ont engendré le développement de nouvelles architectures de communication. Parmi ces développements on peut citer deux objectifs essentiels. Le premier a consisté à développer des mécanismes permettant d augmenter les débits pouvant être atteints au travers de recherches concernant les capacités de transfert des supports physiques et les capacités de traitement des équipements d interconnexion. Le second objectif a porté sur le développement de mécanismes permettant de différencier le traitement réalisé sur les flux traversant le réseau afin de fournir aux utilisateurs des qualités de service correspondant à leurs besoins. Parmi ces nouvelles architectures de communication, la technologie ATM a retenu l attention des organismes de normalisation de par sa capacité à supporter des débits élevés tout en permettant au réseau d assurer des garanties de qualité de service aux utilisateurs qui en font la demande. Un autre point ayant suscité originellement l intérêt pour les réseaux ATM est leur capacité à dépasser les barrières traditionnelles entre réseaux locaux, réseaux métropolitains et réseaux longue distance en permettant l utilisation de bout en bout d une même technologie. Dans la pratique les réseaux ATM sont aujourd hui majoritairement utilisés dans le cadre de réseaux d opérateurs de télécommunication, de réseaux d interconnexion d entreprise et plus minoritairement dans le cas de réseaux locaux. Les réseaux et les équipements qu ils interconnectent sont souvent soumis à des attaques. En 1997 le CLUSIF (CLUb de la Sécurité Informatique Francais) rendait publique une évaluation concernant les conséquences économiques des incidents et sinistres relatifs aux systèmes informatiques ([Clu97]). Dans cette évaluation le montant des dommages engendrés par des attaques logiques (fraudes, attaques logiques et divulgation d information) portait sur 4490 millions de francs. L augmentation du montant de ces dommages était de l ordre de 90% sur la période 1987-1996. Plus récemment un rapport de la GOA (General Accounting Office) évaluant la sécurité des systèmes d information américains ([Gao00]) montrait que sur 24 agences gouvernementales américaines, toutes connaissaient des problèmes sérieux de contrôle d accès en 1999 et 2000. Même s il faut garder à l esprit les possibilités de manipulations de certains de ces chiffres ([War00]), ceux-ci suffisent à montrer toute l importance dans le domaine des réseaux des problèmes de sécurité en général et des problèmes de contrôle d accès en particulier. Cette importance du contrôle d accès a d ailleurs bien été comprise par les entreprises. Selon une étude menée par le cabinet américain IDC, le marché des équipements de sécurité est passé entre 1998 et 1999 de 3 à 4 milliards de dollars et devrait atteindre un montant de 11 milliards de dollars en 2003 ([IDC00]). A l intérieur du marché des équipements de sécurité, le marché européen des pare-feux portait selon un rapport de Frost & Sullivan ([Fro00]) sur un montant de 202 millions de dollars en 1999 et devrait atteindre une montant de 2 milliards de dollars en 2006. 7
Le contrôle d accès dans les réseaux ATM - Introduction Le pare-feu ou firewall est l un des éléments clef de la sécurité actuelle des réseaux. Le terme firewall est un terme générique qui englobe généralement un ensemble de mécanismes permettant de rendre plusieurs services de sécurité tels que l authentification de l origine des communications, la confidentialité des informations transmises sur le réseau, ou le contrôle d accès réseau. Ces services peuvent varier d un firewall à l autre, cependant le service de contrôle d accès réseau est généralement considéré comme un service de base et est assuré par tous les types de firewalls. Dans ce document nous nous interessons à l interaction entre ce service de contrôle d accès et les évolutions prévues dans les réseaux telles que celles que nous décrivons au début de ce chapitre. Nous faisons l hypothèse que les réseaux du futur assureront d une part des débits de communication plus importants et d autre part qu au moins une partie des utilisateurs exigera de la part du réseau des garanties de qualité de service. Afin de limiter notre champ d investigation, nous nous intéressons au cas des réseaux ATM qui, comme nous l avons mentionné précédemment, sont à même d assurer ces deux contraintes. Nous montrons dans ce document d une part les problèmes posés par l utilisation de mécanismes de contrôle d accès réseau tels que ceux implémentés dans les firewalls lorsqu ils sont utilisés conjointement avec des réseaux ATM. Nous montrons d autre part de quelles manières ces problèmes peuvent être résolus. Bien que nos solutions ne s appliquent qu aux réseaux ATM, elles pourraient être facilement étendues à n importe quel type de réseau à haut débit et à qualité de service puisque ceux-ci sont à même de rencontrer les mêmes types de problèmes. Ce document est organisé de la manière suivante: Le chapitre 2 présente le service de contrôle d accès réseau. Nous fournissons un classement des différentes architectures de contrôle d accès réseau. Nous détaillons par la suite les mécanismes et algorithmes utilisés dans ces architectures. Pour finir, nous décrivons les techniques permettant d assurer la gestion et l intégrité du service de contrôle d accès réseau. Le chapitre 3 présente l application du service de contrôle d accès réseau au cas des réseaux ATM. Nous montrons en quoi les firewalls classiques ne peuvent répondre à notre problématique de débit et de respect de la qualité de service. Nous présentons par ailleurs les solutions actuelles ayant pour but de résoudre cette problématique en faisant leur analyse critique. Le chapitre 4 décrit la première contribution de cette thèse. Celle-ci porte sur la constitution d un répertoire classé des informations pouvant être utilisées pour fournir un service de contrôle d accès dans le cas des réseaux ATM. Ce classement est réalisée grâce à une analyse détaillée des normes définissant le modèle ATM et les informations produites par ce modèle. Le chapitre 5 présente la deuxième contribution de cette thèse. Celle-ci porte sur la définition de deux architectures de contrôle d accès pour les réseaux ATM. Celles-ci sont d une part à même d utiliser les paramètres de contrôle d accès répertoriés dans le chapitre 4 mais sont également à même de fournir un service de contrôle d accès à des débits élevés tout en garantissant un respect de la qualité de service pouvant être demandée par les utilisateurs. Enfin ces architectures éliminent certains des problèmes existant pour les solutions concurrentes actuellement proposées. Nous décrivons dans le chapitre 6 de ce document la troisième contribution de cette thèse. Celle-ci porte sur la définition de deux architectures de gestion automatique du contrôle d accès. Nous montrons par ailleurs comment ces architectures peuvent être étendues afin de fournir à l officier de sécurité en charge d un réseau une certaine confiance vis à vis du service de contrôle d accès. Pour finir, le chapitre 7 conclut ce document en en résumant les apports et en montrant comment ceux-ci peuvent être améliorés ou étendus à d autre types d applications. Le lecteur pourra par ailleurs trouver en annexe de ce document un ensemble d informations complétant ou détaillant les idées présentées dans les sept premiers chapitres de ce document. 8
CHAPITRE 2 Le contrôle d accès réseau et sa gestion Dans ce chapitre nous définissons le service de contrôle d accès réseau. Nous fournissons ensuite des critères de classement des architectures de contrôle d accès réseau puis présentons les algorithmes utilisés pour sa mise en oeuvre. Pour finir nous présentons les techniques permettant d assurer sa gestion et son intégrité. 1. Introduction Le contrôle d'accès est défini par l'iso ([7498-2]) par la phrase suivante: «Le service de contrôle d'accès assure une protection contre une utilisation non autorisée de ressources accessibles par une entité ou un groupe d'entités. Ce type de protection peut être appliqué pour différents types d'accès à une ressource ou pour tous les types d'accès.» Dans la pratique cette définition peut avoir un grand nombre d interprétations. D'une manière générale il s'agit d'empêcher ou d'autoriser certaines personnes à effectuer certaines actions qui peuvent être logiques ou physiques. Dans notre cas nous ne nous intéressons pas à un service de contrôle d'accès assurant une protection physique mais uniquement à un service de contrôle d'accès assurant une protection logique. Historiquement c'est au niveau des systèmes d'exploitation que le service de contrôle d'accès a tout d'abord été développé. En fonction du type de service proposé, les systèmes d'exploitation ont été classés [OBook]: Classe C: Contrôle d'accès discrétionnaire (DAC - Discretionary Access Control). Les utilisateurs définissent des listes de contrôle d'accès sur les objets qui leur appartiennent afin d'en permettre le partage. Ceci suppose bien sûr une identification des utilisateurs. Dans la pratique les systèmes classés C sont de loin les plus utilisés. Classe B: Contrôle d'accès obligatoire (MAC - Mandatory Access Control). En plus du contrôle d'accès discrétionnaire défini pour la classe C, les systèmes classés B doivent assurer une protection des données vis à vis des utilisateurs au moyen d'étiquettes. Dans ce type de système les utilisateurs sont représentés par des entités appelées sujets. Les données sont elles appelées objets. Les étiquettes sont associées aux objets et aux sujets afin de les classer. Le classement des données et des sujets permet de garantir certaines propriétés concernant la manipulation des informations. Le service de contrôle d'accès obligatoire est assuré de manière indépendante de la volonté des utilisateurs (d'où son nom «obligatoire»). Comme on le voit la notion d'identification des utilisateurs est très importante afin d'assurer tout service de contrôle d'accès. 9
Le contrôle d accès dans les réseaux ATM - Le contrôle d accès réseau et sa gestion L'introduction des fonctions de communications entre des systèmes d'exploitation situés sur des équipements différents et le développement d'applications basées sur des architectures client-serveur ont entraîné des modifications dans la notion de contrôle d'accès. Les architectures client-serveur se basent sur deux éléments, un processus client et un processus serveur. Le client envoie des requêtes au serveur qui lui répond avec le résultat de sa requête. Le problème de ce type d'architecture est que la plupart des clients et des serveurs ne gèrent pas l'identification des utilisateurs. Cette lacune peut se justifier par trois raisons: La plupart de ces services ont été développés dans le cadre de réseaux où la plupart des services à rendre à tous les utilisateurs sont les mêmes. De ce fait il n'est pas nécessaire de gérer l'identification de ceux-ci. L'interconnexion des réseaux de communication a abouti à l'apparition de communications entre des systèmes qui appartiennent à des entités administratives différentes. Dans ce cadre, il est difficile de s'accorder sur une notation exacte permettant l'identification des utilisateurs. L'identification des utilisateurs n'est utile que si l'on peut s'assurer avec une certaine confiance de leur identité. Or les procédures de sécurité en général et d'identification en particulier entraînent des surcoûts financiers et en terme de performance non négligeables qui ont entraîné les développeurs à construire des versions non sécurisées. Afin d'assurer une interopérabilité maximale ces versions ont été choisies par défaut dans la plupart des systèmes d'exploitation. Afin de palier ces carences plusieurs solutions ont été envisagées. La première est le développement et l'utilisation de clients et de serveurs sécurisés permettant l'identification des utilisateurs ([RFC1510], [Sch96]). Une fois l'identification effectuée le contrôle d'accès peut être effectué par le système d'exploitation ou par le serveur et peut être de type DAC ou MAC. Cette solution a l'inconvénient d'exiger la modification des clients et des serveurs. Cette solution nécessite également d'utiliser une notation commune des identités des utilisateurs ainsi que des clients et des serveurs compatibles ce qui n'est pas évident dans le cas de communications entre entités administratives indépendantes. Afin d'éviter ces problèmes, des travaux ont été réalisés afin de fournir un service de contrôle d'accès qui soit indépendant des équipements et des logiciels clients et serveurs. Les équipements de contrôle d accès réseau dont le firewall ([Ran92]) est un exemple, sont l'aboutissement de ces travaux. Le contrôle d'accès est alors réalisé en analysant le contenu des communications et en bloquant ou interrompant celles qui sont en contradiction avec la politique de contrôle d'accès. Ces équipements fournissent un service qui ne se substituent pas à un contrôle d'accès au niveau du système d'exploitation des équipements extrémité. Dans ce chapitre nous décrivons la mise en oeuvre du contrôle d accès réseau, de sa définition à son implémentation. Ce chapitre est donc divisé en quatre sections principales. La première a pour objectif de fournir un classement des mécanismes de contrôle d accès réseau permettant de décrire de manière claire et concise les architectures existantes. La section 3 porte sur une description des techniques utilisées pour l implémentation de ces mécanismes. Nous décrivons ensuite en section 4 les architectures et techniques utilisées pour définir et administrer le service de contrôle d accès réseau. Pour finir, nous montrons en section 5 que le service de contrôle d accès réseau est inutile s il n est pas possible d en garantir l intégrité. Nous décrivons de ce fait les moyens utilisées pour garantir l intégrité des architectures de contrôle d accès réseau. 2. Un classement des mécanismes de contrôle d accès réseau Afin de faciliter la compréhension des architectures que nous ferons dans les chapitres suivants nous proposons dans cette section certains critères permettant de classer les mécanismes de contrôle d accès. Ces critères sont indépendants des algorithmes qui seront utilisés pour effectuer le contrôle d accès à proprement parler. Ce classement se base sur certaines notions : La politique de contrôle d accès réseau est la définition des communications autorisées et interdites dans un réseau et décrit de ce fait le service de contrôle d accès à implémenter dans le réseau. Ce service de contrôle des communications se fait au moyen d une architecture de contrôle d accès. Cette architecture peut uti- 10
Le contrôle d accès dans les réseaux ATM - Le contrôle d accès réseau et sa gestion liser plusieurs types de mécanismes. Par la suite nous résumerons le terme de contrôle d accès réseau par contrôle d accès étant donné que seul ce service nous intéresse dans la suite de ce document. 2.1. Synchronisme du contrôle d accès Notre premier paramètre est lié au synchronisme du contrôle d accès, c est à dire au fait que le contrôle d accès soit fait de manière bloquante ou non. 2.1.1. Approche non bloquante Dans le cas d'une évaluation non bloquante des flux, l analyse des flux se fait sur une copie des flux ou sur une synthèse des informations contenues dans le flux. La copie du flux peut être réalisée à différents niveaux protocolaires. Au niveau physique la réplication des informations se fait soit par une copie des signaux électrique dans le cas d une utilisation de supports métalliques ou par une duplication des signaux lumineux par coupleur optique dans le cas des supports optiques. Au niveau MAC (Medium Access Control) le mécanisme de copie peut se servir des capacités de diffusion des réseaux locaux en faisant systématiquement une copie des trames fournies par le niveau physique quelle que soit leur adresse de destination. Politique de contrôle d accès réseau Figure 1. Approche non bloquante. I.C.A. Fonction de contrôle d accès D.C.A. Informations Contextuelles Contrôleur Copie du flux O.C.A. Flux La figure 1 utilise le formalisme fournit par [Schu97] pour représenter un mécanisme de contrôle d accès non bloquant. Le contrôleur se base sur une copie du flux pour générer les informations de contrôle d accès (I.C.A.). Celles-ci sont utilisées par la fonction de contrôle d accès qui, en fonction de la politique de contrôle d accès et d informations contextuelles, prend une décision de contrôle d accès (D.C.A.). Cette décision de contrôle d accès est utilisée par le contrôleur pour générer une opération de contrôle d accès (O.C.A.). Cette opération peut soit porter sur le flux si le processus de contrôle d accès est suffisamment rapide, soit porter sur les flux appartenant à la communication ayant généré le flux contrôlé afin d interrompre celle-ci. Les avantages relatifs à une évaluation non bloquante sont doubles. D une part une évaluation non bloquante assure l absence d'altération des flux puisque ceux-ci ne sont pas bloqués. Le deuxième avantage est la possibilité de définir le temps processeur qui sera utilisé pour fournir le service de contrôle d accès. Cependant une analyse à posteriori peut engendrer un délai entre le passage du flux et l opération de contrôle d'accès. De ce fait, l'évaluation non bloquante des flux peut poser un problème de sécurité. Un attaquant peut utiliser ce délai pour réaliser des accès non autorisés. Ce problème est particulièrement sensible dans le cas des protocoles non connectés puisque par définition les flux sont indépendants les uns des autres. 11
Le contrôle d accès dans les réseaux ATM - Le contrôle d accès réseau et sa gestion 2.1.2. Approche bloquante Dans le cas d'une évaluation bloquante des flux (décrite figure 2), l analyse des flux ne se fait plus sur une copie du flux mais sur le flux lui même. Le contrôleur extrait du flux les informations nécessaires à la fonction de contrôle d accès (I.C.A.) et bloque le flux jusqu à ce qu une décision de contrôle d accès (D.C.A.) lui parvienne. Le flux est alors, soit détruit, soit réémis vers sa destination. Politique de contrôle d accès réseau I.C.A. Figure 2. Approche bloquante. Fonction de contrôle d accès D.C.A. Informations Contextuelles Contrôleur Flux Flux Les avantages et inconvénients de cette approche sont duaux de l approche non bloquante. En effet l approche bloquante garantit la sécurité du contrôle d accès puisque le flux est bloqué jusqu à la décision de contrôle d accès mais ce bloquage peut entraîner des modifications dans les caractéristiques du flux. 2.2. Position topologique du contrôle d accès Notre second critère de classement concerne la position topologique des mécanismes de contrôle d accès, c est à dire son placement dans le réseau. Les notions de centralisation et de distribution n ont de sens que vis à vis de la politique de contrôle d accès. 2.2.1. Approche centralisée Une architecture de contrôle d accès centralisée se base sur la concentration des mécanismes de contrôle d'accès dans un seul équipement et donc dans un seul point de la topologie du réseau. Le point de concentration est défini de telle sorte à pouvoir rendre le service de contrôle d accès défini par la politique de contrôle d accès qui lui est associée. Cet endroit est généralement placé entre un réseau non contrôlable (réseau public par exemple) et le réseau à protéger (réseau local par exemple). Tous les flux sont alors examinés par l architecture de contrôle d accès. La centralisation des mécanismes de contrôle d'accès apporte certains avantages. Le premier est qu un seul équipement a besoin d'être modifié afin de fournir le service de contrôle d accès. Ceci est important car certains équipements internes au réseau à protèger ne peuvent être modifiés ou sécurisés du fait de leur conception. De plus, seul cet équipement a besoin d'être géré et audité. La détection des attaques concernant plusieurs équipements est plus facile puisque tous les flux devant être contrôlés passent par un seul point. Enfin, le service de contrôle d'accès n'a pas d'impact direct sur les performances des services fournis par les équipements du réseau puisqu il est fourni par des mécanismes placés sur un équipement dédié. Une architecture centralisée possède également certains inconvénients. La résistance aux pannes est faible. En effet, si le contrôleur tombe en panne, soit le service n'est plus assuré (approche non bloquante), soit les communications ne sont plus possibles (approche bloquante). Un autre point est qu une architecture cen- 12