Détection d anomalies d dans les configurations de composants de sécurité réseau Stere Preda stere.preda@enst-bretagne.fr 8 février 2006
Plan Contexte de l étude Anomalies dans la configuration des composants de sécurité Décomposition de la politique de sécurité Génération de la configuration des composants Conclusions
Contexte de l étude (1/3) Concept de politique de sécurité ganisationnel concret norme ISO 17799 expression de la sécurité du système règles de contrôle d accès mécanisme de sécurité composants de sécurité : firewall, IDS, VPN implémentation sous forme de packages de règles
Contexte de l étude (2/3) Modèles formels de politique de sécurité nombreux modèles proposés DAC, MAC, RBAC expressivité limitée Or-BAC : Permissions, Interdictions, Obligations Gestion de contextes Gestion de conflit - F. Cuppens, N. Cuppens-Boulahia, A. Miège, "Héritage de privilèges dans le modèle Or-BAC : application dans un environnement réseau", Symposium sur la Securite des Technologies de l Information, 2004
Contexte de l étude (3/3) Configuration sans anomalie? Spécifications Spécifications informelles informelles de de la la politique politique de de sécurité sécurité (1) Abstraction de la politique de sécurité I (4) Firewalls Firewalls (2) Multi target Multi target IDS IDS (3) VPN VPN Configuration Configuration des des composants composants de de sécurité sécurité II III
Plan Contexte de l étude Anomalies dans la configuration des composants de sécurité Décomposition de la politique de sécurité Génération de la configuration des composants Conclusions
Anomalies dans la configuration des composants de sécurité (1/3) Anomalies générées par la transformation (4) firewall Anomalies : Shadowing Redondance Conflits inter firewalls Solutions : algorithmes de réécriture - F. Cuppens, N. Cuppens-Boulahia, J. Garcia-Alfaro, "Detection and removal of firewall misconfiguration", 2005 IASTED International Conference on Communication, Network and Information Security, Phoenix, AZ, USA, Novembre, 2005. - Ehab S. Al-Shaer, Hazem H. Hamed, "Discovery of Policy Anomalies in Distributed Firewalls", IEEE INFOCOM 04, 2004.
Anomalies dans la configuration des composants de sécurité (2/3) Anomalies générées par la transformation (4) IDS Anomalies : Masquage d une règle par un firewall Redondance IDS & firewall Signature non pertinente Solution : algorithmes de corrélation de configurations inter composants
Anomalies dans la configuration des composants de sécurité (3/3) VPN Création des tunnels Enchevêtrement des tunnels - Zhi Fu, S. Felix Wu, He Huang, Kung Loh, Fengmin Gong, Ilia Baldine, and Chong Xu, "IPSec/VPN Security Policy: Correctness, Conflict Detection, and Resolution", Springer-Verlag Berlin Heidelberg 2001
Plan Contexte de l étude Anomalies dans la configuration des composants de sécurité Décomposition de la politique de sécurité Génération de la configuration des composants Conclusions
Décomposition de la politique de sécurité (1/3) Firmato modèle ambigü pas d indépendance politique de sécurité topologie du réseau - Y. Bartal, A. Mayer, K. Nissim, A. Wool, "FIRMATO : A Novel Firewall Management Toolkit", In 20th IEEE Symposium on Security and Privacy, pages 17 31, Oakland, California, May 1999 Tactique de sécurité limitée, saut d étapes, non automatisable - Romain Laborde, "Un cadre formel pour le raffinement de l information de gestion de sécurité réseau : Expression et Analyse", thèse pour obtenir le grade de DOCTEUR DE L UNIVERSITÉ TOULOUSE III, le 26 Septembre 2005
Décomposition de la politique de sécurité (2/3) Basée sur le modèle Or-BAC définir formellement la politique de sécurité indépendamment de la technologie des composants dériver la configuration des composants de cette spécification formelle de la politique de sécurité - F. Cuppens, N. Cuppens-Boulahia, T. Sans, A. Miège. "A formal approach to specify and deploy a network security policy", Second Workshop on Formal Aspects in Security and Trust (FAST). Toulouse, France. August, 2004.
Décomposition de la politique de sécurité (3/3) Politique de Politique de sécurité Or-BAC sécurité Or-BAC XSLT Langage de Politique Langage de Politique de sécurité multi-target de sécurité multi-target XML XML XSLT IDS, Snort IDS, Snort NetFilter NetFilter Cisco PIX Cisco PIX VPN VPN packages de règles
Plan Contexte de l étude Anomalies dans la configuration des composants de sécurité Décomposition de la politique de sécurité Génération de la configuration des composants Conclusions
Génération de la configuration des composants (1/2) Objectif : configuration sans anomalie! approche descendante, modèle Or-BAC «organisation» : entité implémentant une partie de la politique de sécurité (e.g., firewall, IDS) «rôles» : affectés aux «sujets» (e.g., DNS_server) «vues» : des messages, des paquets, leur contenu «activités» : des services réseau (e.g., ssh, http, ftp)
Génération de la configuration des composants (2/2) Objectif : configuration sans anomalie (suite) approche descendante, modèle Or-BAC «sujets» : stations «actions» : réalisées par les «sujets» sur les «objets» «permission»d un«sujet»de faire une action sur un «objet», dans un certain «contexte» manipulation des données dans un format XML outil d administration existant (MotOr-BAC) - C. Coma, " Administration d'une politique de contrôle d'accès, juin 2005
Plan Contexte de l étude Anomalies dans la configuration des composants de sécurité Décomposition de la politique de sécurité Génération de la configuration des composants Conclusions
Conclusions nombreux travaux, axés sur un seul type d application approche globale pour la configuration de l ensemble des composants (approche descendante) réduction du risque d anomalie intra et inter composants ainsi que du conflit inter technologie objectifs du stage politique de sécurité réseau basée sur Or-BAC sa décomposition pour la configuration des IDS et VPN étude inter composants
Merci de votre attention Questions?
Shadowing : On dit qu une règle est masquée (shadowed) si la règle ne s applique jamais parce que des règles ayant des priorités plus grandes sont toujours applicables. Redondance : On dit qu une règle est redondante, si on peut la supprimer sans changer la décision de filtrage, quel que soit le paquet présenté en entrée du firewall.