La cybersécurité des réseaux TSN

Le Time Sensitive Networking introduit la notion de temps-réel dans l’Ethernet standard. Sans entraîner une profonde révision technologique, la sécurité des réseaux TSN nécessite de tenir compte du déterminisme qui régit l’acheminement des données. René Hummen et Oliver Kleineberg de la société Belden nous apportent leur expertise sur ce point.

En introduisant des propriétés de communication en temps réel et une garantie de service, la technologie TSN pose de nouveaux défis en matière de sécurité informatique. Ils peuvent heureusement être gérés par les mécanismes et les procédures de protection existants et éprouvés, à condition de s’appuyer sur les bonnes pratiques mises en oeuvre pour la sécurité du réseau industriel.

Le Time-Sensitive Networking s’appuie sur un ensemble de normes spécifiées par les groupes de travail IEEE 802.1 et 802.3 ; certaines récemment publiées récemment et d’autres, encore en préparation. Elles stipulent la nécessité de disposer d’une base de temps partagée par tous les appareils reliés à un réseau TSN. Cette compréhension communément admise du temps est indispensable pour transmettre des données de façon déterministe le long d’une trajectoire planifiée à l’avance, en respectant un délai connu (latence) avec une variation faible (jitter).

Pour cela, les réseaux TSN s’appuient sur une méthode appelée : accès multiple à répartition dans le temps (Time Division Multiple Access ou TDMA). Les intervalles de temps de ces cycles sont réservés aux flux de données prioritaires afin qu’ils soient protégés des autres types de transmissions. En d’autres termes, une réservation crée un circuit virtuel entre deux ou plusieurs terminaux via l’infrastructure TSN. Pour s’assurer que chaque périphérique respecte les intervalles de temps attendus, les horloges internes de tous les périphériques doivent être synchronisées en s’appuyant sur le protocole normalisé IEEE 1588, appelé Precision Time Protocol (PTP).

De nouveaux points d’entrée pour les cyber-agressions

Bien connues, les attaques par déni de service (DoS) consistent à inonder un réseau avec de grandes quantités de requêtes jusqu’à ce qu’il soit incapable de remplir sa fonction. La technologie TSN s’appuyant sur des horloges synchrones, le protocole PTP ainsi que le mécanisme TDMA deviennent de nouveaux vecteurs d’agression. Il suffit par exemple, de cibler un seul et même intervalle de temps réservé, pour perturber un flux de communication critique.

En plus de la surcharge de certains créneaux horaires, le protocole PTP peut lui-même devenir une cible. Par exemple, il est possible de détourner la fonction du serveur-maître délivrant les données de synchronisation, en utilisant des paquets PTP falsifiés. Un faux serveur pourrait ainsi envoyer des spécifications de latence suffisamment élevées pour qu’elles sabotent la synchronisation des intervalles de cycles sur les terminaux soumis au TSN.

Les mécanismes de la sécurité

Pour l’essentiel, les solutions de sécurité habituelles comme les pare-feux, restent des dispositifs incontournables pour sécuriser une infrastructure TSN. Les propriétés temps réel ont cependant, une influence sur l’approche de certaines mesures de sécurité. Par exemple, les paquets de données traversant un pare-feu DPI (Deep Packet Inspection) ne peuvent être inspectés en temps réel puisque son logiciel doit vérifier la charge utile transmise. Si ce délai n’est pas pris en compte lorsque des cycles sont réservés, les paquets risquent d’être retardés jusqu’à dépasser leur temps de latence maximal. Une première solution consiste à utiliser des pare-feux supportant un mécanisme déterministe compatible avec les exigences de la technologie TSN. Une autre possibilité passe par la prise en compte du retard d’acheminement afin que la planification TDMA soit ajustée lors de la réservation d’un cycle.

Cette transparence au niveau des délais s’applique également aux commutateurs (switchs) qui assurent les mécanismes de sécurité au niveau matériel, comme les listes de contrôle d’accès (Access Control List ou ACL) et le filtrage des paquets sans état. Même si ces mécanismes fonctionnent habituellement à vitesse filaire, le faible retard qui est introduit dans l’acheminement des flux déterministes, peut perturber les réseaux TSN, où les transmissions reposent sur une précision de l’ordre de la microseconde, voire moins. Si de tels mécanismes sont nécessaires à la sécurité, Il est indispensable que leur influence soit prise en compte dans les calculs de latence et d’ordonnancement du TSN.

Dans tous les cas, il faut tenir compte des exigences en termes de latence et de temps de cycles des applications. Si certains types d’inspection induisent un retard acceptable à l’intérieur même du réseau TSN, d’autres ne pourront être déployés qu’à ses extrémités de contact avec les autres zones de communication, avec lesquelles les retards de délivrance des paquets seront tolérables. Il est donc nécessaire d’identifier les zones au sein desquelles des performances déterministes sont primordiales par l’importante dépendance qu’entretiennent les équipements connectés entre eux.

On peut en conclure que la sécurité peut être assurée par des pare-feux DPI aux interconnexions entre les différentes zones de communication, tandis que des filtres de paquets ACL peuvent assurer la sécurité à l’intérieur des zones régies par le TSN.

La sécurité jusqu’à la couche 2 du modèle OSI

L’un de ces mécanismes, encore en cours d’élaboration dans le cadre la normalisation de la technologie TSN, est appelé Ingress Filtering and Policing (IEEE 802.1Qci). Il permet de vérifier si les trames de données ainsi que leur temps de réception correspondent à un flux de données réservé. Dans la négative, le paquet est rejeté avant qu’il n’impacte négativement le fonctionnement du réseau. De plus, des mécanismes tels que MACsec (Media Access Control Security) peuvent être utilisés pour authentifier, chiffrer et protéger l’intégrité des différents flux entre les équipements du réseau.

Là encore, la latence introduite par l’accomplissement de ces opérations de contrôle doit être prise en compte mais c’est un très faible prix à consentir pour disposer d’une infrastructure de communication déterministe ayant l’avantage d’être totalement indépendante de tel ou tel constructeur ou éditeur de logiciel.

Informations issues d’un document publié par le Dr. René Hummen et le Dr. Oliver Kleineberg de la société Belden.