LogoLogo

El Khoury, Hicham. Une modélisation formelle orientée flux de données pour l'analyse de configuration de sécurité réseau

El Khoury, Hicham (2014). Une modélisation formelle orientée flux de données pour l'analyse de configuration de sécurité réseau.

[img]
Preview
PDF - nécessite un logiciel de visualisation PDF comme GSview, Xpdf or Adobe Acrobat Reader
5Mb

Résumé en francais

La mise en œuvre d’une politique de sécurité réseau consiste en la configuration de mécanismes de sécurité hétérogènes (passerelles IPsec, listes de contrôle d’accès sur les routeurs, pare-feux à états, proxys, etc.) disponibles dans un environnement réseau donné. La complexité de cette tâche réside dans le nombre, la nature, et l’interdépendance des mécanismes à considérer. Si différents travaux de recherche ont tenté de fournir des outils d’analyse, la réalisation de cette tâche repose aujourd’hui encore sur l’expérience et la connaissance des administrateurs sécurité qui doivent maîtriser tous ces paramètres. Dans cette thèse nous proposons une solution pour faciliter le travail des administrateurs réseau. En effet, nombre d’inconsistances viennent de l’incompatibilité de règles de politiques, de l’incompatibilité de mécanismes mis en œuvre successivement au sein des équipements traversés. Une théorie formelle générique qui permet de raisonner sur les flux de données réseau est manquante. Dans cette optique, nous présentons trois résultats complémentaires : 1-un modèle formel orienté flux de données pour l’analyse de politiques de sécurité réseau afin de détecter les problèmes de consistance entre différents mécanismes de sécurité sur des équipements différents jouant un rôle à différents niveaux dans les couches ISO. Dans ce modèle, nous avons modélisé un flux d’information par un triplet contenant la liste des protocoles de communication dont le flux résulte, la liste des attributs dont l’authentification est garantie, et la liste des attributs dont la confidentialité est garantie. 2-un formalisme indépendant de la technologie basé sur les flux de données pour la représentation des mécanismes de sécurité ; nous avons spécifié formellement la capacité et la configuration des mécanismes de sécurité devant être mis en œuvre en construisant une abstraction des flux physiques de blocs de données. Nous avons proposé une solution qui peut répondre aux exigences de sécurité et qui peut aider à analyser les conflits liés au déploiement de plusieurs technologies installées sur plusieurs équipements 3-afin d’évaluer à la fois la capacité d’expression et d’analyse du langage de modélisation, nous avons utilisé les réseaux de Petri colorés pour spécifier formellement notre langage. L’objectif de nos recherches vise l’intérêt et la mise à disposition d’un langage de modélisation pour décrire et valider les architectures solutions répondant à des exigences de sécurité réseau. Des simulations appliquées à des cas particuliers, comme le protocole IPsec, NA(P)T et Netfilter/iptables, complètent notre démarche. Néanmoins, l’analyse des conflits de sécurité se fait actuellement par simulation et de manière non exhaustive. Nos travaux futurs viseront à aider/automatiser l’analyse en permettant aux intéressés de définir les propriétés en logique temporelle par exemple qui seront contrôlées automatiquement.

Sous la direction du :
Directeur de thèse
Benzekri, Abdelmalek
Ecole doctorale:Mathématiques, informatique, télécommunications de Toulouse (MITT)
laboratoire/Unité de recherche :Institut de Recherche en Informatique de Toulouse (IRIT), UMR 5505
Mots-clés libres :Sécurité des réseaux - Analyse des configurations - Détection des conflits - Spécification formelle - CPN
Sujets :Informatique
Déposé le :09 Feb 2015 14:56