Contexte et état de l'art :
L’architecture TSN désigne un ensemble de standards IEEE conçus dans l’objectif de faire évoluer le réseau Ethernet d’aujourd’hui vers un réseau supportant les communications déterministes et temps-réel de certaines applications [1] : automatisation industrielle, automobile, avioniques, etc. IEEE a défini une suite de standards [2] permettant de gérer principalement : la synchronisation temporelle entre les équipements TSN (Time Synchronization), la planification des trafics de données (Scheduling), l’orchestration et la réservation de ressources (Orchestration and Reservation) ainsi que le filtrage et la redondance (Policing and Redundancy). Si les réseaux TSN sont pensés pour être déployés dans des environnements physiques, leur usage dans des environnements virtualisés, induisant des problèmes de configuration dynamique pour le positionnement de ressources a été étudié notamment dans [3, 4]. Du point de vue de la sécurité, il est montré que si le PSFP offre les moyens opérationnels pour assurer l’isolation des flux et leur respect des contraintes de latence, sa configuration est un problème difficile [5] du fait de la complexité et la diversité des éléments à configurer. Par ce biais, la contrainte de temps peut devenir un vecteur d’attaque qu’un attaquant peut exploiter en retardant par exemple la livraison de paquets causant ainsi des dégâts considérables sur l’application visée [6]. De récents travaux ayant pour objectif d’automatiser la configuration des commutateurs TSN ont été présentés dans [14, 15]. Dans [15], les auteurs montrent la faisabilité de configurations dans un réseau TSN simulé (via NeSTiNg [13]) et évaluent le délai de bout-en-bout de différents flux critiques. Ils identifient des variations importantes entre les différents flux (de 24 à 1888 μs) et montrent que la configuration d’un réseau TSN peut conduire à des résultats opérationnels différents de l’attendu engendrant des situations défaillantes induisant des problèmes de sécurité. Dans [16], la sécurité d’un réseau TSN a été prise en considération lors de la configuration du routage et de la planification afin d’éviter les interférences malveillantes d’autres flux tout en garantissant la QoS requise par les flux critiques légitimes. Par ailleurs, il est établi que la sécurisation des communications de niveau 2 peut être effectuée avec MACSec (Media Access Control Security) [7, 8]. MACSec utilise des algorithmes d’authentification et de chiffrement/déchiffrement hautement parallélisables ayant un impact très faible, voire négligeable [9] sur la latence totale d’un réseau, donc compatibles avec TSN. Les fonctions de sécurité reposent sur des clés dont la gestion a été automatisée dans de récents travaux [10, 11] afin de simplifier le rôle de l’administrateur qui n’a plus besoin de connaître la topologie du réseau sous-jacent.
Objectifs et verrous scientifiques :
L’objectif de la thèse est de proposer une solution de configuration d’une architecture TSN couplée à MacSec robuste aux attaques qui visent à exploiter les erreurs de configuration. En effet, si la sécurisation du plan de données de niveau 2 via MacSEC et les différents composants d’un commutateurs TSN (filtrage, synchronisation de portes, configuration de crédits, etc.) offrent des garanties d’isolation des flux et donc une robustesse face à différentes formes de trafic malveillant, il apparaît que la surface d’attaque de ce type d’architecture subsiste par la complexité du plan de gestion pour l’obtention de configurations performantes et robustes, à l’échelle d’un réseau opérationnel.
Ainsi, au mieux de notre connaissance, ce sujet est pionnier sur la question de la sécurité des réseaux TSN étant donné que seules quelques références bibliographiques existent sur la sécurité de ce type de réseaux, là où on trouve une littérature existante sur les attaques de type time-delay dans des réseaux industriels. Par ailleurs, il est proposé, non pas de chercher d’éventuelles failles de l’architecture TSN couplée à MacSEC, qui est sécurisée par conception, mais plutôt de traiter des problématiques de sécurité par la configuration conjointe de MacSEC et TSN, qui semble
être une voie essentielle à explorer afin d’assurer la robustesse effective d’une telle architecture dans un environnement opérationnel.
Étant donné l’absence d’état de l’art significatif sur des attaques dans les réseaux TSN ou de jeux de données réutilisables, il sera avant tout question d’explorer la surface d’attaque offerte par un réseau TSN couplé à MacSEC dans un environnement de laboratoire, sujet qui reste une question ouverte. On s’attachera à montrer par un plan d’expérimentation visant une forme d'exhaustivité des situations rencontrées, dans quelle mesure différentes configurations d’une architecture permettent à différents flux réseaux malveillants de perturber le trafic légitime en dépit des mécanismes de sécurité du plan de données. On considérera pour ce faire différentes formes de trafic indésirable dans d’autres architectures réseaux à faible latence [17] ainsi que les attaques connues de type time-delay dans les réseaux industriels [18] pour identifier les formes de trafic préjudiciables en cas de mauvaise configuration. Le second verrou concerne la prise en compte conjointe de la configuration de MacSEC et TSN. S’il existe aujourd’hui des solutions indépendantes pour leur configuration, leur prise en compte conjointe augmente la difficulté à fournir des solutions de configuration robustes pour chacun de ces deux composants, et ce, à chaque instant, notamment dans des environnements dynamiques comme par exemple les architectures virtualisées. Face à cette complexité, la modélisation sous la forme d’un problème d’optimisation de type ILP est par conséquent la piste que nous privilégions à ce stade.
Méthodologie de travail :
La méthodologie de travail de la thèse repose à la fois sur une approche empirique pour collecter des données probantes relatives aux attaques et aux configurations TSN associées, mais aussi sur une approche par modèle en proposant de formuler la question de la solution robuste et performante sous la forme d’un problème d’optimisation. Les échéances de travail seront organisées comme suit :
- T0-T0+6 : état de l’art sur les réseaux TSN, MacSEC et les algorithmes d’optimisation multi-objectifs ;
- T0+6-T0+12 : Mise en place d’un testbed TSN couplé à MACSec. On considère à ce stade l’implémentation TSN sous Linux mais d’autres solutions pourront être envisagées [13, 19] ;
- T0+12-T0+18 : Caractérisation des attaques sur les flux à latence prescrite par l’exploitation de mauvaises configurations de TSN (PSFP) couplé à MACSec (gestion des clés) ;
- T0+18-T0+24 : Conception d’une méthode de gestion de configuration sécurisée par une approche
d’optimisation de type ILP satisfaisant aux contraintes de sécurité ;
- T0+24-T0+30 : Implémentation et validation de la solution sur le testbed. Il est prévu une solution logicielle de type SDN pour contrôler les configurations des différents composants ;
- T0+30-T0+36 : Rédaction du manuscrit de thèse.
Les travaux réalisés dans le cadre de cette thèse feront l’objet d’articles qui seront soumis dans des journaux et conférences de renommée internationale dans le domaine de la cybersécurité des réseaux, par exemple “Computers & Security (COSE)” et “IEEE Transactions on Information Forensics and Security”
[1] L. Lo Bello and W. Steiner, "A Perspective on IEEE Time-Sensitive Networking for Industrial Communication and Automation Systems", Procedeeings of the IEEE, vol. 107, no. 6, June 2019, doi: 10.1109/JPROC.2019.2905334.
[2] IEE802.1 Standards, IEEE 802.1 Working Group, https://1.ieee802.org
[3] H. Fang and R. Obermaisser, "Virtual Switch Supporting Time-Space Partitioning and Dynamic Configuration for Integrated Train Control and Management Systems," 2018 21st Euromicro Conference on Digital System Design (DSD), Prague, pp. 735-739, 2018.
[4] M. Jakovljevic, A. Geven, N. Simanic-John et al. “Next-Gen Train Control / Management (TCMS) Architectures: Drive-By-Data System Integration Approach”. ERTS 2018, France, 2018.
[5] Lejla Smajlovic Dalila Alibegovic. « Time Sensitive Network (TSN) configurations on network performance in real-time communication. 2022. url : https : //www.diva portal.org/smash/get/diva2:1667807/FULLTEXT01.pdf.
[6] D. Ergenç, C. Brülhart, J. Neumann, L. Krüger and M. Fischer, "On the Security of IEEE 802.1 Time-Sensitive Networking," 2021 IEEE International Conference on Communications Workshops (ICC Workshops), Montreal, QC, Canada, 2021, pp. 1-6, doi: 10.1109/ICCWorkshops50388.2021.9473542.
[7] M. Gutiérrez, A. Ademaj, W. Steiner, R. Dobrin and S. Punnekkat, "Self-configuration of IEEE 802.1 TSN networks," 2017 22nd IEEE International Conference on Emerging Technologies and Factory Automation (ETFA), Limassol, Cyprus, 2017, pp. 1-8, doi: 10.1109/ETFA.2017.8247597.
[8] B. Houtan, A. Bergström, M. Ashjaei, M. Daneshtalab, M. Sjödin and S. Mubeen, "An Automated Configuration
Framework for TSN Networks," 2021 22nd IEEE International Conference on Industrial Technology (ICIT),
Valencia, Spain, 2021, pp. 771-778, doi: 10.1109/ICIT46573.2021.9453628.
[9] D. Hellmanns and J. Falk. (2020) Nesting - network simulator for timesensitive networking. [Online]. Available: https://gitlab.com/ipvs/nest
[10] Mahfouzi R, Aminifar A, Samii S, Eles P, Peng Z. Security-aware routing and scheduling for control applications on Ethernet TSN networks. ACM Transactions on Design Automation of Electronic Systems (TODAES), nov. 2019, pp.1-26.
[11] "ISO/IEC/IEEE International Standard for Information technology -- Telecommunications and information exchange between systems -- Local and metropolitan area networks -- Part 1AE: Media access control (MAC) security," in ISO/IEC/IEEE 8802-1AE:2013(E) , vol., no., pp.1-160, 6 Dec. 2013.
[12] "ISO/IEC/IEEE International Standard - Information technology — Telecommunications and information exchange between systems - Local and metropolitan area networks - Part 1AE: Media access control (MAC) security AMENDMENT 3: Ethernet data encryption devices," in ISO/IEC/IEEE 8802-1AE:2013/Amd.3:2018(E) , vol., no., pp.1-146, 11 Dec. 2018.
[13] R. A. Peña, M. Pascual, A. Astarloa, D. Uribe and J. Inchausti, "Impact of MACsec security on TSN traffic," 2022 37th Conference on Design of Circuits and Integrated Circuits (DCIS), Pamplona, Spain, 2022, pp. 01-06, doi: 10.1109/DCIS55711.2022.9970155.
[14] F. Hauser, M. Schmidt, M. Häberle and M. Menth, "P4-MACsec: Dynamic topology monitoring and data layer protection with MACsec in P4-based SDN", IEEE Access, vol. 8, pp. 58845-58858, 2020.
[15] F. Hauser, M. Häberle and M. Menth, "P4sec: Automated Deployment of 802.1X, IPsec, and MACsec Network Protection in P4-Based SDN," in IEEE Access, vol. 11, pp. 56300-56309, 2023
[16] Marius Letourneau, Guillaume Doyen, Rémi Cogranne, and Bertrand Mathieu. A comprehensive characterization of threats targeting low-latency services: the case of L4S. Special Issue on High-Precision, Predictable and Low-Latency Networking in Springer Journal of Network and Systems Management 31(1): 19, 2022.
[17] Bianchin, G., Pasqualetti, F. (2018). Time-Delay Attacks in Network Systems. In: Ko ̧c, C ̧.K. (eds) Cyber Physical Systems Security. Springer, Cham. 2018. https://doi.org/10.1007/978-3-319-98935-8 8
[18] S. Senk, M. Ulbricht, J. Acevedo, G. T. Nguyen, P. Seeling and F. H. P. Fitzek, "Flexible Measurement Testbed for Evaluating Time-Sensitive Networking in Industrial Automation Applications," 2022 IEEE 8th International Conference on Network Softwarization (NetSoft), Milan, Italy, 2022, pp. 402-410, doi: 10.1109/NetSoft54395.2022.9844050