Conception et réalisation d'une architecture tolérant les intrusions pour des serveurs internet
Résumé
The connection of critical systems to the Internet is raising serious security problems, since the conventional protection techniques are rather inefficient in this new context. This thesis proposes a generic architecture for intrusion tolerant Internet servers. This architecture is based on redundancy and diversification principles, in order to increase the system resilience to attacks: usually, an attack is targeted at a particular software, running on a particular platform, and fails on others. The architecture is composed of redundant tolerance proxies that mediate client requests to a redundant bank of diversified application servers (COTS). The redundancy is deployed here to increase the availability and integrity of the system. To improve its performance, we have introduced the notion of adaptive redundancy: the redundancy level is selected by the proxies according to the current alert level. We present two architecture variants targeting different classes of Internet servers. The first one is proposed for fully static servers such as Web distribution with static content that provide stable information, which can be updated offline. The second architecture is proposed for fully dynamic systems where the updates are executed immediately on the on-line database. We have demonstrated the feasibility of this architecture by implementing an example of an Internet travel agency. The first performance tests are satisfactory, with acceptable request execution times and fast enough recovery after incidents.
La connexion de systèmes critiques à Internet pose de sérieux problèmes de sécurité. En effet, les techniques classiques de protection sont souvent inefficaces, dans ce nouveau contexte. Dans cette thèse, nous proposons une architecture générique tolérant les intrusions pour serveurs Internet. Cette architecture est basée sur les principes de redondance avec diversification afin de renforcer les capacités du système à faire face aux attaques. En effet, une attaque vise généralement une application particulière sur une plateforme particulière et s'avère très souvent inefficace sur les autres. L'architecture comprend plusieurs serveurs Web (COTS) redondants et diversifiés, et un ou plusieurs mandataires mettant en Suvre la politique de tolérance aux intrusions. L'originalité de cette architecture réside dans son adaptabilité. En effet, elle utilise un niveau de redondance variable qui s'adapte au niveau d'alerte. Nous présentons deux variantes de cette architecture destinées à différents systèmes cibles. La première architecture est destinée à des systèmes complètement statiques où les mises à jours sont effectuées hors-ligne. La deuxième architecture est plus générique, elle considère les systèmes complètement dynamiques où les mises à jours sont effectuées en temps réel. Elle propose une solution basée sur un mandataire particulier chargé de gérer les accès à la base de données. Nous avons montré la faisabilité de notre architecture, en implémentant un prototype dans le cadre d'un exemple d'une agence de voyages sur Internet. Les premiers tests de performances ont été satisfaisants, les temps de traitements des requêtes sont acceptables ainsi que le temps de réponse aux incidents.
Loading...