Les attaques massives par déni de service, impliquant un volume de trafic très important, représentent une menace pour les services Internet, du site vitrine à celui de e-commerce. Les effets de ces trafics malicieux et volumineux se font sentir au cœur même des réseaux. De ce fait, ils impactent aussi les fournisseurs de service réseau et menacent même la stabilité de l’Internet. Ceux-ci peuvent, pour des besoins de maintien de leur service, choisir des mesures draconiennes permettant de contrôler les dommages qui leur sont causés, sans autre considération des dommages subis par la destination de l’attaque.
En ce sens, de nombreuses recherches ont été menées, mais aucune n’a été capable de combiner le besoin d’atténuation de l’attaque, avec l’obligation de continuité de service (ou encore, le fait de produire le moins de dégâts collatéraux) et les contraintes réseau. Les contre-mesures proposées par le monde académique comme industriel portent sur l’authentification des clients légitimes, l’identification et le filtrage du trafic malicieux, une utilisation efficace des interconnexions entre les équipements réseau, ou l’absorption de l’attaque par les ressources disponibles.Au regard de ces éléments, des résultats expérimentaux ont été présentés par le laboratoire de recherche de 6cure, pour améliorer l’état de l’art en matière de réaction aux attaques.
Mettre en place des dispositifs efficients
Il est nécessaire de proposer un mécanisme de contrôle de dommages pouvant s’intégrer en amont d’un processus de filtrage précis. Basé sur une nouvelle empreinte grossière d’attaque et les fonctions réseau du standard Multiprotocol Label Switching (MPLS), il est alors possible d’isoler le trafic malicieux du trafic légitime. Le trafic légitime est transmis à la cible en priorité, tandis que le trafic identifié comme malicieux peut emprunter un chemin réseau secondaire, mais surtout non prioritaire et avec une bande passante limitée. Le but est de rejeter suffisamment de trafic d’attaque pour maintenir la stabilité du réseau tout en préservant autant de trafic légitime que possible. Le reste du trafic supposé malicieux, pouvant encore contenir des composantes légitimes est acheminé jusqu’à la cible ou à un mécanisme de filtrage plus fin. La solution prend en compte des informations sur l’attaque, mais aussi les ressources réseau disponibles.
Des enjeux stratégiques chez les opérateurs
Considérant que les opérateurs réseau n’ont pas une même visibilité sur leur réseau, il faut étudier l’impact de contraintes opérationnelles sur l’efficacité d’une contre-mesure régulièrement recommandée, le filtrage par liste noire. Les critères d’évaluation sont le niveau d’information sur l’attaque ainsi que sur le trafic global dans le réseau. Des scénarios peuvent alors être formulés, auxquels chaque opérateur peut s’identifier. En estimant que le mécanisme de filtrage à base de liste d’accès (ACL) et plus précisément de listes noires est particulièrement utilisé. De manière générale, l’algorithme de génération des listes noires doit être choisi avec précaution afin de maximiser l’efficacité du filtrage. Ainsi, selon cet algorithme, une plus grande visibilité (un “monitoring” plus précis) n’implique pas nécessairement moins de dégâts collatéraux.
Une telle étude d’impact bénéficiera à un outil de management de la réaction aux attaques : celui-ci centralise, agrège et affiche des informations sur le trafic réseau – des listes d’adresses IP malveillantes ou, plus spécifiquement au monde DNS, des noms de domaines utilisés pour de l’amplification – et permet en parallèle de piloter des équipements (pare-feux et solutions de filtrage, routeurs, …) ayant des granularités de filtrage différentes. L’ambition de 6cure est, maintenant, de combiner, dans ses solutions de management, les sources d’information de manière à appliquer des politiques de sécurité hybrides limitant les faux positifs.
Source : theses.fr
Par Pierre-Edouard Fabre, docteur en réseau et télécommunication chez 6cure