Institut de la francophonie pour l'informatique (IFI)

RAPPORT DU TIPE

La scurit dans les rseaux haut dbit

Ralis par: PHUNG KHAC An Promotion X Tuteur: Prof. Victor MORARU Date: 16 mai 2005

Remerciements

Je tiens remercier le professeur Victor MORARU qui a dirig mon travail et m'a donn des documents, au cours de mes recherches. Je souhaite remercier les professeurs de lIFI qui ma donn des conseils.

Table des matires

Liste des figures..............................................................................................5 Liste des tableaux...........................................................................................5 Introduction ...................................................................................................6 1 Menaces sur les rseaux ................................................................................7 1.1 1.2 Vulnrabilits......................................................................................... 7 Attaques..................................................................................................8 1.2.1 Vol de donnes........................................................................... 8 1.2.2 Accs non autoriss.................................................................... 8 1.2.3 Attaque de dnis de services.......................................................8 1.2.4 Attaque sur la messagerie........................................................... 9 1.3 2 2.1 2.2 2.3 2.4 3 3.1 Virus .................................................................................................. 10 Systme de dtection d'intrusions (IDS)...............................................11 Pare-feu................................................................................................ 12 Antivirus...............................................................................................12 Cryptographie....................................................................................... 13 Rseau haut dbit ................................................................................ 14 3.1.1 Fibre optique............................................................................. 14 3.1.2 Routage et commutation haut dbit.......................................... 16 3.2 Problmes de scurit dans les rseaux haut dbit .............................. 16 3.2.1 NIDS et pare-feu....................................................................... 16 3.2.2 Cryptographie........................................................................... 16 4 Solutions pour la scurit dans les rseaux haut dbit............................. 18 4.1 IDS avec l'analyse d'tat....................................................................... 18 4.1.1 Principes................................................................................... 18 4.1.2 Architecture.............................................................................. 18 4.1.3 Rsultat d'exprimentation........................................................20 4.2 Pare-feus parallles ..............................................................................23 4.2.1 Optimisation de la politique de scurit de pare-feu................ 23 Mthodes pour la scurit .......................................................................... 11

Rseau haut dbit et les problmes de la scurit..................................... 14

4.2.2 Une nouvelle architecture de pare-feu...................................... 25 4.3 4.4 5 5.1 5.2 Nouveau chiffrement: Cobra-H64 (128).............................................. 27 Autres solutions....................................................................................28 Comparaison.........................................................................................29 Proposition personnelle........................................................................ 30

Comparaison et proposition personnelles..................................................29

Conclusions .................................................................................................. 31 Liste des acronymes..................................................................................... 32 Bibliographies...............................................................................................33

Liste des figures

Figure 1 Figure 2 Figure 3 Figure 4 Figure 5 Figure 6 Figure 7 Figure 8 Figure 9 Exemple de DoS Pare-feu Chiffrement Fibre optique Les modes de fibre optique IDS avec l'analyse d'tat Utilisation Snort pour l'exprimentation Relation entre le dbit et la performance(un seul capteur) Relation entre le nombre des rgles et la performance (un seul capteur) 9 12 13 14 15 19 20 21 21 22 22 24 25 25 26 26 27 27 28 29 30

Figure 10 Relation entre le dbit et la performance (plusieurs capteurs) Figure 11 Relation entre le nombre des rgles et la performance(plusieurs capteurs) Figure 12 Graphes de rsultat Figure 13 Arbre des rgles Figure 14 Comparaison entre les structures Figure 15 Donnes parallles Figure 16 Fonctions parallles Figure 17 Hirarchie Figure 18 Comparaison thorique entre 3 modles Figure 19 Structure du Cobra Figure 20 Perspectives des solutions Figure 21 IDSs parallles avec l'analyse d'tat

Liste des tableaux

Tableau 1 Tableau 2 Tableau 3 Politique de scurit de pare-feu Temps d'occurrence de cls faiblesses dans les rseaux haut dbit Politique de scurit de pare-feu 12 17 23

Introduction
Aujourd'hui, les rseaux haut dbit jouent un rle de plus en plus important dans le domaine d'informatique. tant conduit par des applications et des avances dans la technologie de fibre optique et de commutation, les rseaux haut dbit ont une lvation inimaginables, mais ils nous proposent aussi une problme: comment pouvons-nous bien grer le trafic de rseau, donc fournir la scurit dans l'environnements haut dbit? Dans les rseaux haut dbit comme Gigabit Ethernet, rseaux avec sur des fibres optiques, etc., les mthodes traditionnelles qui assurent la scurit dans des rseaux classiques ne s'appliquent pas automatiquement. Dans ce sujet, on va tudier comment assure-t-on la scurit dans ces rseaux. Ce rapport se compose des parties suivantes:

Introduction Chapitre 1 - Menaces sur les rseaux Chapitre 2 - Mesures pour la scurit Chapitre 3 - Rseau haut dbit et les problmes de la scurit Chapitre 4 - Solutions pour la scurit dans les rseaux haut dbit Chapitre 5 - Comparaison et Propositions personnelles Conclusion

Le but de ce rapport, c'est d'analyser la scurit des rseaux, ses problmes dans le cas des rseaux haut dbit et aussi quelques solutions. A partir de ces analyses, on aura une vue prcise sur la scurit dans les rseaux haut dbit.

Chapitre 1: Menaces sur les rseaux

Ds quun utilisateur se connecte un rseau, son ordinateur se trouve confront de nombreuses menaces dont certaines peuvent conduire une perte de donnes voire mme une perte totale des fichiers systmes. Aujourd'hui, les rseaux sont toujours devants des menaces. Il y a de plus en plus de techniques pour les protger, mais il y a aussi de plus en plus de techniques pour les attaquer. Ce chapitre va montrer prcisment les menaces auxquels on doit faire face.

1.1 Vulnrabilits
LInternet est une mine dinformations pour les entreprises et pour les utilisateurs. En naviguant sur lInternet, on peut accder des millions de pages Web. A laide de moteurs de recherche, on peut obtenir des informations qui sont ncessaires pour le travail, au moment o on en a besoin (liste de prix, caractristiques dun produit, documents particuliers,...) Le Web est une ressource indispensable pour la productivit des entreprises, mais il y a aussi des dangers. Premirement, c'est le cookie. Un cookie est un document texte exploit par une page Web. Il est enregistr sur votre disque dur et il renseigne le serveur Web sur vos informations comme l'identit, les commandes ou les habitudes. Faut til l'accepter sinon la navigation Web peut devenir difficile, voire impossible. Mais en fait, quelque fois, on ne peut pas donner ces informations cause de la scurit. Dans ce cas, le Web montre une faiblesse. Mais le plus dangereux, cest louverture libre des accs au Web. Par exemple, en laissant sans surveillance les utilisateurs d'un rseau priv naviguer sur lInternet, ce rseau sexpose certains risques comme l'effondrement des performances du rseau interne, voire mme les risques juridiques quand lutilisateur effectue un acte illgal. Pour rsoudre ce problme, il faut une discipline ou les listes de pages Web interdire ou conseiller, mais dans l'volution trs rapide du Web aujourd'hui, comment peut-on faire?

1.2 Attaques
1.2.1 Vol de donnes Dans le monde aujourd'hui o linformation est devenue le plus prcieux dune entreprise, le vol de donnes est tourjours un grand problme. Premirement, c'est le vol de donnes dans la disque dur. Imaginez que vous stockez des documents trs importants dans la disque dur de la serveur, un jour, vous les voyez sur l'Internet, c'est une catastrophe! Cette imagination est tout fait possible. Dans ce type de vol, plus de 50% dattaques russies bnficient dune complicit lintrieur. Cela veut dire les menaces ne viennent pas seulement l'extrieur. Un autre type de vol est le vol dans la voie de transmission. Vous envoyez des informations un autre, malheureusement, il y a un voleur dans la voie de transmission et il peut voire toutes. Ce n'est pas vraiment agrable! 1.2.2 Accs non autoriss Dans un rseau local, tous les utilisateurs ont un compte. Chaque utilisateur peut seulement accder aux ressources o il a le droit d'accs et il est responsable de ses actes. Mais c'est seulement idal. En fait, il y a souvent des faiblesses de la scurit qu'on peut profiter pour accder aux ressources des autre, effectuer des actes illgal. Ces sont les accs non autoriss et la consquence, c'est le vol de donnes, voire mme les problmes juridiques. 1.2.3 Attaque de dnis de services D'une manire gnrale, l'attaque par dni de service (Denial of Service - DoS) vise rendre une application informatique incapable de rpondre aux requtes de ses utilisateurs par saturation de ses ressources. Une serveur offrant des services aux clients doit traiter des requtes de plusieurs clients. Le dbit de traitement dpend de sa configuration matrielle et logicielle. Si le dbit des requtes est suprieur la vitesse de libration des ressources de la serveur pendant une priode trop prolonge, la serveur sature et est rendue inactive puisqu'elle ne peut plus rpondre aux requtes de services des clients: on parle de dni de services. La figure 1 montre un exemple de DoS qui s'appelle ICMP Flood

Figure 1: Exemple de DoS

Une attaque dni distribu de service (Distributed Denial of Service - DDoS) est une attaque contre un ordinateur. Dans DDoS, on utilise plusieurs machines pour l'attaque, chaque machine demande plusieurs machines de participer l'attaque, cela permet d'augmenter le nombre de machines hostiles participant l'attaque. Donc, ce type d'attaque est plus dvastatrice et la saturation de la serveur est plus rapide. 1.2.4 Attaques sur la messagerie Presque tous les utilisateurs de l'Internet utilisent le courriel parce que le courriel les donne des avantages. Mais normalement, rien n'est parfait et le courriel n'est pas une exception cause des attaques. Le bombardement de courriel (mail bombing): Normalement, vous recevez environ 10 courriels chaque jour. Un jour, vous recevez conscutivement 1000 courriels dans une heure: vous tes une victime d'une attaque qui est rappele le mail bombing. Les courriels de masse (mass mailer): Ce type d'attaque provoque des chanes des courriels votre bote est les celles des personnes dans vos listes de messagerie. Le poluriel (spamming): Qui vous envoie les courriels que vous ne voulez pas comme publicits. La consquence de cette attaque n'est pas grave, mais vous serez d-agrable.

Ces types d'attaque peut saturer votre bote aux lettres et donc vous ne pouvez pas la contrler ainsi que les autres ne peuvent pas envoyer les courriels votre bote aux lettres.

1.3 Virus
Un virus informatique est un logiciel malveillant crit dans le but de se dupliquer sur d'autres ordinateurs. Il peut aussi avoir comme effet, recherch ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l'ordinateur infect. Il peut se rpandre travers tout moyen d'change de donnes numriques comme l'Internet, mais aussi les disquettes, les cdroms, les clefs USB etc.

Le virus classique est un morceau de programme qui s'intgre dans un programme normal. chaque fois que l'utilisateur excute ce programme, il active le virus qui en profite pour aller s'intgrer dans d'autres programmes excutables.

Les vers, qui se rpandent dans le courrier lectronique en profitant des failles des diffrents logiciels de messagerie (notamment Microsoft Outlook). Ds qu'ils ont infect un ordinateur, ils s'envoient eux-mmes dans tout le carnet d'adresses, ce qui fait que l'on reoit ce virus de personnes connues.

Les logiciels espions (spyware) accompagnent certains gratuiciel (mais pas les logiciels libres), partagiciel et pilotes de priphriques, s'installent discrtement sur l'ordinateur, sans prvenir l'utilisateur, et collectent, envoient des informations personnelles des organismes tierces.

Les chevaux de Troie prtendent tre lgitimes (souvent de petits jeux ou utilitaires), mais comportent des routines nuisibles excutes sans l'autorisation de l'utilisateur. En fait, les chevaux de Troie ne sont pas des virus car il leur manque la fonction de reproduction, essentielle pour qu'un programme puisse tre considr comme un virus.

10

Chapitre 2: Mthodes pour la scurit

Dans ce chapitre, on va tudier les solutions pour la scurit des rseaux.

2.1

Systme de dtection d'intrusion (IDS)

Un IDS est un systme qui a pour but de dtecter des intrusions sur un rseau ou une machine. Dans les IDS, on utilise un ensemble des signatures d'intrusion pour la dtection. Les IDS proposent les fonctions suivantes: - Dtection d'attaque (active ou passive) - Gnration des rapports - Outils de corrlation avec d'autres lments de l'architecture de scurit - Raction aux attaques par le blocage de route ou la fermeture de connexion - Transfert d'activit Classification: Il y a 2 types d'IDS:

HIDS (Host IDS) pour surveiller les htes. Dans ce type, les signatures d'intrusion sont les descriptions des comportements du systme ou des tats du systme.

NIDS (Network IDS) pour surveiller le trafic de rseau. Dans ce type, les signatures d'intrusion sont les descriptions des paquets arrivs de trafic.

Architectures: Dans les IDS, on utilise les architectures suivantes:

SA (Sniffer Approche): en gnral une architecture centralise ou des sondes reparties sur un rseau sont charges de faire remonter des informations un serveur

SSA (Single Sniffer Approach): un seul poste coute le trafic et lanalyse UAA (User Agent Approach): utilise les notions dagent mobile et de plateforme agent pour distribuer le systme, et ne plus avoir de gestion centralise 11

Grce aux puissances, les ISDs sont trs utilises aujourd'hui dans le domaine de la scurit.

2.2

Pare-feu

Un pare-feu est un dispositif logiciel ou matriel qui filtre tous les paquets qui passent par lui pour leur appliquer la politique de scurit de lentreprise. Cette politique, au niveau du pare-feu consiste laisser passer tout ou partie de ces paquets sils sont autoriss, et bloquer et journaliser les changes qui sont interdits. Figure 2: Pare-feu La politique est organise sous forme d'un ensemble des rgles. La figure suivante montre un exemple:

Tableau 1: Politique de scurit de pare-feu Le pare-feu est un IDS, mais il dtecte seulement les attaques de l'extrieur. Pour l'intranet, les pare-feu sont ncessaires, mais pas suffisants, pour commencer implmenter une politique de scurit.

2.3

Antivirus

Un antivirus est un logiciel qui protge une machine contre les virus. Les antivirus se fondent sur des fichiers de signatures et comparent alors les signatures gntiques du virus aux codes vrifier. Certains programmes appliquent galement la mthode heuristique tendant dcouvrir un code malveillant par son comportement. Les antivirus peuvent scanner le contenu d'un disque dur, mais galement la mmoire 12

de l'ordinateur. Pour les plus modernes, ils agissent en amont de la machine en scrutant les changes de fichiers avec l'extrieur, aussi bien en flux montant que descendant. Ainsi, les courriels sont examins, mais aussi les fichiers copis sur ou partir de supports amovibles tels que cdroms, disquettes, connexions rseau,... Selon les caractristiques d'IDS, on trouve que les antivirus sont aussi des IDS. Aujourd'hui, il y a beaucoup d'antivirus comme Norton Antivirus, McAfee Antivirus,...

2.4

Cryptographie

Cryptographie est une science mathmatique dans laquelle on fait les tudes des mthodes permettant de transmettre des donnes de manire confidentielle. Afin de protger un message, on lui applique une transformation qui le rend incomprhensible; cest ce quon appelle le chiffrement, qui, partir dun texte clair, donne un texte chiffr ou cryptogramme. Inversement, le dchiffrement est laction qui permet de reconstruire le texte en clair partir du texte chiffr. Dans la cryptographie moderne, les transformations en question sont des fonctions mathmatiques, appeles algorithmes cryptographiques, qui dpendent dun paramtre appel clef.

Figure 3: Chiffrement

Dans les rseaux, pour contre les vols d'informations dans la voie de transmission, on utilise les techniques de cryptographie pour chiffrer et dchiffrer les messages transmis.

13

Chapitre 3: Rseau haut dbit et les problmes de scurit

3.1 Rseau haut dbit

Aujourd'hui, les rseaux haut dbit est trs populaire et ils jouent un rle important dans la vie. Le dbit de rseau montre une rvolution inimaginable. Dans cette partie, on va tudier grce quelles technologies on peut construire les rseaux haut dbit. Dans l'abstrait, on peut considrer un rseau d'ordinateurs comme un rseau des points et des lignes connectes. Donc il y a 2 lments du dbit de rseau, ces sont la vitesse de transmettre des informations dans ces lignes et la vitesse de traiter des informations dans ces points. Dans les rseaux haut dbit, on utilise les fibres optiques pour fournir la premire vitesse et le les technologies de commutation, de routage, de codage haut dbit,... pour la deuxime vitesse. 3.1.1 Fibre optique La fibre optique permet de transmettre des donnes sous forme d'impulsions lumineuses modules, des dbits suprieurs ceux du fil de cuivre. Elle se compose d'un coeur qui transporte les impulsions lumineuses, d'une gaine qui peut rflchir ces impulsions l'intrieur, et d'un revtement pour la protger.

Figure 4: Fibre optique Il y a 2 modes de fibre optique:

Monomode: transporte les faisceaux lumineux de faon axiale, sans rflexion sur la gaine. Le diamtre du coeur est trs petit, ce qui est proche des longueurs d'ondes utilises et contribue canaliser les faisceaux. C'est avec la fibre 14

monomode qu'on obtient les dbits les plus levs, jusqu' 100 milliards de bits par seconde (100 Gbit/s), mais elle rclame une grande puissance d'mission des faisceaux laser.

Multimode: dispose d'un coeur de plus grand diamtre et assure une propagation multidirectionnelle des faisceaux en tirant parti du phnomne de rflexion de ceux-ci sur la gaine. On distingue les fibres multimodes faible indice ou saut d'indice, qui rflchit toujours la lumire de la mme faon, et les fibres multimodes gradient d'indice, dans lesquelles la rflexion ne se fait pas avec le mme indice ni avec le mme angle selon la distance radiale du faisceau. Les dbits totaux autoriss vont de 20 500 Mbit/s

Figure 5: Les modes de fibre optique La fibre optique a des avantages: haut dbit, pas sensible au bruit, pas de diaphonie, pas de court-circuit, trs faible taux derreurs (10-9). Aujourd'hui, la fibre optique est dj largement utilise dans les rseaux haut dbit et elle pourrait terme remplacer encore plus largement le fil de cuivre. Grce aux fibres optiques, on peut utilise les codages haut dbit pour coder les informations transmis et les transmettre avec le dbit trs haut (en fait, dans le Gigabit Ethernet, on peut utiliser les fils de cuivre comme les cbles paire torsades dans le standard 1000Base-T, mais ce n'est pas la solution pour l'avenir).

15

3.1.2 Routage et commutation haut dbit Commutation: La commutation est devenue l'lment principal dans la plupart des rseaux pour rduire la dlai et amliorer la vitesse. Une technologie de commutation pour produire une sortie plus rapide est la commutation de barre transversale (crossbar switching). Elle utilise une matrice de commutation pour avoir le dlai trs bas et la sortie rapide. Routage: Dans les rseaux, l'embouteillage se passe le plus souvent dans le routage. Pour rsoudre ce problme, il y a des recherches dans lesquelles on essaie d'viter des routages possibles. Par exemple dans les technologies de commutation comme ATM (Asynchronous Tranfer Mode) ou VLANs.

3.2

Problmes de scurit dans les rseaux haut dbit

Dans la chapitre 2, on a dj abord les mthodes de scurit: les IDSs, les pare-feus, les antivirus et la cryptographie. Ces sont les mthodes principales qui sont utilises dans les rseaux. Mais dans les rseaux haut dbit, on ne peut pas les appliquer automatiquement cause du problme de vitesse: 3.2.1 NIDS et pare-feu Le principe de NIDS et pare-feu est d'analyser tout le trafic de rseau et grce un ensemble des signatures, on dtecte les intrusions. Dans les rseaux haut dbit, analyser tout le trafic en temps rel, c'est impossible. Si on utilise automatiquement ces mthodes, on dois tre devant une alternative: analyser une partie de trafic ou rduire le dbit de rseau. 3.2.2 Cryptographie Dans les rseaux haut dbit, les chiffrements traditionnels posent des problmes, surtout le problme d'augmentation de taux de cls faiblesse.

16

Tableau 2: Temps d'occurrence de cls faiblesses dans les rseaux haut dbit Le Tableau 2 est une estimation de temps d'occurrence de cls faiblesses pour les chiffrements de bloc 64-bit comme DES, Triple DES, IDEA. Pour rsoudre ce problme, on dois changer les cls plus frquemment, mais cela pose autre problme: rduire la vitesse de chiffrement. Dans le chapitre suivant, on va tudier les solutions pour ces problmes.

17

Chapitre 4: Solutions pour la scurit dans les rseaux haut dbit

Aujourd'hui, il y a plusieurs recherches pour amliorer les mthodes traditionnelles ou chercher des nouvelles mthodes pour la scurit dans les rseaux haut dbit. Dans ce chapitre, on va tudier quelques mthodes: IDS avec l'analyse d'tat, parefeus parallles, un nouveau chiffrement qui s'appelle Cobra H64 (ou 128).

4.1

IDS avec l'analyse d'tat

4.1.1 Principes IDS avec l'analyse d'tat (Stateful IDS) est propos pas Reliable Software Group [1]. L'ide principale dans ce systme est de diviser le trafic de rseau en sous-ensembles de taille maniable. Dans le systme, on utilise plusieurs capteurs pour analyser des sous-ensembles et dtecter des intrusions grce ses signatures. 4.1.2 Architecture Pour construire l'architecture de ce systme, on propose des exigences suivantes:

Dtection dintrusion est ralise par un ensemble de capteurs, chaque capteur dtecte les intrusions grce un sous-ensemble de signatures

Les capteurs sont indpendants Systme partitionne le flux dvnements en tranches de taille maniable Chaque tranche de trafic est analyse par un ensemble de capteurs Chaque capteur accde au trafic ncessaire pour dtecter la signature On peut ajouter des capteurs, des signatures au systme

18

Architecture du systme:

Figure 6: IDS avec l'analyse d'tat Dans un IDS avec l'analyse d'tat, il y a des lments suivants:

Un robinet Un diffuseur Un ensemble des trancheurs S0, S1,..., Sm-1 Un commutateur Un ensemble des rassembleurs R0, R1,..., Rn-1 Un ensemble des capteurs de dtection d'intrusion I0, I1,..., Ip Avec chaque rassembleur Ri, il y a un canal correspondant Ci

Robinet extrait une chane de trames F(f1, f2,, ft). Diffuseur divise F en sous-chanes Fj (fi appartient un seul Fj). Chaque Fj est transmis 1 Trancheur Si, Si envoie chaque trame un ou plusieurs Rassembleur(s) Rj (lordre des trames nest pas chang). Chaque capteur dans un Canal Ci peut accder toutes trames dans Ri.

19

Pour la dtection, chaque capteur Ij est associ avec q scnarios dattaque Aj = {Aj0,Aj1,Ajq-1}, chaque Ajk est associ avec un espace dvnements Ejk:Ejk = cjk0 v cjk1 v v cjkn avec cjk est expression sous forme xRy dans laquelle x est une valeur partir de fi, y est un constance ou une valeur de variable, Dans ce systme, on utilise plusieurs trancheurs parce que l'algorithme de trancher et d'envoyer des trames est assez complexe. Le rle de ces trancheurs est trs important, if un message est envoy incorrectement, le systme ne peut pas dtecter quelques intrusions. 4.1.3 Rsultat d'exprimentation L'exprimentation est ralise au laboratoire MIT Lincoln Labs (Massachusetts Institute of Technology). On utilise le trafic de ce laboratoire pour tester un systme de dtection d'intrusion qui s'appelle Snort.

Figure 7: Utilisation Snort pour l'exprimentation La premire exprimentation a pour but de tester la performance du systme. Le nombre d'intrusions dtectes est 11 213 dans 10 secondes avec le dbit de 261 Mbps et le nombre des rgles est 961. Dans la deuxime exprimentation, on utilise Sort avec un seul capteur. Cette exprimentation montre la relation entre le dbit du rseau et la performance (nombre d'intrusions), le nombre des rgles utilis dans ce cas est 18. Le rsultat de cette exprimentation est montr dans la Figure 8. La troisime exprimentation est ralise pour montrer la relation entre la performance du systme et le nombre des rgles utilises. Le rsultat du l'exprimentation est montr dans la Figure 9 avec le dbit du rseau de 100 Mbps. 20

Figure 8: Relation entre le dbit et la performance(un seul capteur)

Figure 9: Relation entre le nombre des rgles et la performance (un seul capteur)

21

Dans les 2 exprimentations suivantes, on ralise les mmes travaux dans les exprimentations 2 et 3 avec plusieurs capteurs. Les rsultats sont montrs dans la Figure 10 et la Figure 11.

Figure 10: Relation entre le dbit et la performance (plusieurs capteurs)

Figure 11: Relation entre le nombre des rgles et la performance(plusieurs capteurs) 22

En observant les rsultats des exprimentations, on peut trouver que la performance de nouveau systme est trs bonne que cela de systme traditionnel, surtout dans le cas ou il y a un grand nombre des rgles (pour dtecter un grand nombre des intrusions).

4.2

Pare-feus parallles

Il s'agit d'un projet du groupe Network Security Group de l'universit de Wake Forest aux Etat-Unis [2]. Ce projet est lanc au mois de septembre 2004 et il y a 2 parties principales: Optimisation la politique de scurit de pare-feu pour amliorer sa performance et Recherche d'une nouvelle architecture de pare-feu pour les rseaux haut dbit. Jusqu' maintenant, la premire partie et la partie thorique de la deuxime partie sont dj acheves. 4.2.1 Optimisation de la politique de scurit de pare-feu Dans les pare-feus traditionnel, on utilise la politique de scurit sous la forme d'un tableau des rgles.

Tableau 3: Politique de scurit de pare-feu Pour examiner un paquet arriv, on examine chaque rgle dans le tableau selon un ordre. A cause de cette raison, quelques rgles peuvent tre inutiles, par exemple la rgle 6 dans le Tableau 2: aprs la rgle 5, elle est inutile. De plus, dans le cas ou la rgle trouve est la fin du tableau, on dois perdre beaucoup de temps pour l'examen. Dans ce projet, on a rsolu ce problme: Tout d'abord, on optimise le tableau pour rduire les rgles inutiles, en suit, on construit l'arbre des rgles - la structure peut rduire le temps d'examiner.

23

Optimiser le tableau des rgles: Pour optimiser le tableau des rgles, on construire un graphe, chaque sommet correspond une rgle, si la rgle A implique la rgle B, AB sera un arc (orient) du graphe. A partir de ce graphe, on peut utiliser les algorithmes dans la thorie de graphe (par exemple l'algorithme de prtraitement dans le problme de chercher le voie de Gantt proposition personnelle) pour re-tiqueter les sommets et avoir le meilleur ordre. La Figure 12 montre quelques graphes de rsultat.

Figure 12: Graphes de rsultat Construire l'arbre des rgles: Au lieu d'utiliser le tableau des rgles, on utilise une autre structure de donnes, c'est l'arbre. En utilisant cette structure, le temps de chercher est rduit et la mmoire pour le stockage est plus petite. Le Figure 13 montre un exemple d'arbre des rgles

24

Figure 13: Arbre des rgles Dans le projet, on a fait une comparaison thorique entre les structures utilises:

Figure 14: Comparaison entre les structures 4.2.2 Une nouvelle architecture de pare-feu La nouvelle architecture de pare-feu dans ce projet est l'architecture dans laquelle on utilise plusieurs pare-feus parallles. Il y a 3 type: Donnes parallles, Fonctions parallles et Hirarchie

25

Donnes parallles:

Figure 15: Donnes parallles Dans le modle de donnes parallles, on utilise plusieurs pare-feus parallles, chaque pare-feu a tout la politique de scurit, les paquets arrivs sont distribus tous les pare-feus. Donc chaque pare-feu traite un moins nombre des paquets et on peut rduire le temps de traiter. Fonctions parallles:

Figure 16: Fonctions parallles Dans ce modle, on utilise plusieurs pare-feus parallles, chaque pare-feu est responsable d'une partie de la politique de scurit, chaque paquet arriv est envoy tous les pare-feus o il sera trait avec un ensemble des rgles plus petite. Donc on peut rduire le temps de traiter.

26

Hirarchie:

Figure 17: Hirarchie Dans ce modle, on paralllise la politique de scurit ainsi que les paquets arrivs. Les caractristiques de chaque paquet sont distribues tous les pare-feus o il y a une partie de la politique. Dans ce projet, on a fait une comparaison thorique entre les 3 modles:

Figure 18: Comparaison thorique entre 3 modles Dans la comparaison, on montre les relations entre le dbit, le dlai et le nombre des rges. En observant les diagrammes, on trouve que les dlais des nouveaux modles sont plus petits que celui du modle traditionnel (un seul pare-feu).

4.3

Nouveau chiffrement: Cobra H64 (128)

Dans les rseaux haut dbit, les chiffrements traditionnels posent des problmes, surtout le problme d'augmentation de taux de cls faiblesse et le problme de la vitesse de chiffrement. Pour rsoudre ces problmes, N. SKLAVOS, N.A. MOLDOVYAN, O. KOUFOPAVLOU [3] proposent une solution, c'est un nouveau chiffrement 27

s'appelant Cobra qui base sur la DDP (Data-Dependent Permutations).

Figure 19: Structure du Cobra Il y a 2 type de Cobra: Cobra-H64 (texte en claire de 64bits) et Cobra-H128 (texte en claire de 64bits). Grce au paralllisme forte dans chaque pas (round) et l'utilisation d'opration permutables (sert changer facilement les cls), le Cobra donne une vitesse de chiffrement plus haut, il est utilis dans les carte FPGA et ASIC.

4.4

Autres solutions

Aujourd'hui, il y a plusieurs produits pour la scurit dans les rseaux haut dbit, ces sont les produits basent sur la technologie de commutation et de NIDS.

28

Chapitre 5: Comparaison et propositions personnelles

Dans le chapitres prcdent, on a abord quelques solutions pour la scurit dans les rseaux haut dbit. Dans ce chapitre, on va faire la comparaison entre ces solutions et proposer quelques ides sur ce problme.

5.1

Comparaison

Chaque solution fournit la scurit par des mthodes diffrentes et sur des points diffrents dans les rseaux, donc on ne peut pas faire la comparaison entre eux au point de vue de scurit. Dans ce cas, on compare ses perspectives, ses capacits dans l'avenir. Dans les IDSs avec l'analyse d'tat/les pare-feus parallles, quand on augmente le nombre de capteurs/nombre des pare-feus parallles, la performance sera plus haut. Donc quand le dbit de rseau augmente, on peut augmenter le nombre des capteurs/le nombre de pare-feu parallles pour fournir la performance. Pour le Cobra, quand le dbit augmente, pour fournir la scurit, on doit augmenter le nombre des bits de texte en claire, donc la performance diminue.

Figure 20: Perspectives des solutions

29

Conclusion: Dans l'avenir, quand le dbit de rseau augmente, les NIDS avec l'analyse d'tat et les pare-feus parallles peuvent encore fournir la scurit et pour le chiffrement Cobra, on dois chercher un autre chiffrement pour le remplacer ou chercher un faon pour l'amliorer.

5.2

Proposition personnelle

En analysant les solutions dans la chapitre 4, on propose une ide: On peut combiner le NIDS avec l'analyse d'tat et l'architecture des pare-feus parallles pour avoir une architecture des NIDSs parallles avec l'analyse d'tat.

Figure 21: IDSs parallles avec l'analyse d'tat

Dans ce systme, on spare l'ensemble des signatures plusieurs IDSs avec l'analyse d'tat, toutes les chane des trames arrives sont distribues aux IDS o on les analyse avec un ensemble des signatures plus petit. Donc on peut rduire le temps de traiter. Dans ce cas, il s'agit un systme avec les fonctions parallles.

30

Conclusions
Aujourd'hui, le dbit de rseau est plus haut, il nous donne des avantages, mais il pose aussi le problme de scurit parce que les mthodes traditionnelles comme NIDS, pare-feu, chiffrement ne peuvent pas traiter des messages arrivs en temps rel. Pour rsoudre ce problme, on a recherch des solutions, ces sont les systmes de dtection d'intrusion avec l'analyse d'tat, l'architecture des pare-feus parallles, un nouveau chiffrement s'appelant Cobra et plusieurs autres solutions. En analysant ces solutions, on a trouv que les systmes de dtection d'intrusion avec l'analyse d'tat et l'architecture des pare-feus parallles sont trs efficaces pour aujourd'hui ainsi que le demain. Par contre, le Cobra est seulement la solution pour aujourd'hui. Dans ce travail, on propose aussi une ide de combiner 2 solutions analyses pour construire une architecture des systmes de dtection d'intrusion parallles avec l'analyse d'tat.

31

Liste des acronymes

IDS HIDS NIDS DoS DDoS SA SSA UAA ATM DDP ASIC VLAN Intrustion Detection Systeme Host - Intrustion Detection Systeme Network - Intrustion Detection Systeme Denial-of-Service Distributed Denial-of-Service Sniffer Approche Single Sniffer Approche User Agent Approach Asynchronous Transfer Mode Data-Dependent Permutations Application-Specific Integrated Circuit Virtual Local Area Network

32

Bibligraphies
[1] Christopher Kruegel, Giovanni Vigna, Fredrik Valeur, Richard Kammerer Reliable Software Group - University California, Santa Barbara, Stateful Intrusion Detection for High-speed Network www.snort.org/docs/2002_04.ps [2] Errin W. Fulp, Department of Computer Science, Network Security Group, Firewall Architectures for High-Speed Networks, septembre 2004 nsg.cs.wfu.edu [3] N.Sklavos, N.A. Moldovyan, O.Koufopavlou, High Speed Networking Sercurity: Design and Implemention of Two New DDP-Based Ciphers, 2005 [4] Groupe de la commission scurit de l'etna, Livre ouvert sur la scurit, 12 aot 2004 www.etnafrance.org/ressources/ securiteip/booklet-etna.pdf [5] [6] [7] [8] Cyrille Barthelemy, Frederic Blain, Stany Marcel, Techniques dvasion des IDS Victor Moraru, transparents du cours Rseaux dordinateurs, 2004 Patrick Bellot, transparents du cours Cryptographie, 2005 John Velissarios, Roberto Santarossa, Practical Security Issues With HighSpeed Networks, 1999 http://iospress.metapress.com/index/1CY14UF2PP9END2R.pdf

33