La citadelle électronique
Sécurité contre l’intrusion informatique volume 2
Sylvain Maret / version 1.1 Octobre 2002
“ L’art de fortifier ne consiste pas dans des règles et des systèmes mais uniquement dans le bon sens et l’expérience ”
Sebastien le Prestre de Vauban Ingénieur Architecte 1633-1707
4 Agenda
f La citadelle électronique
f Les firewalls
f Les proxy
f Contrôle d’URL
f Contrôle de contenu
f Anti Virus
f Web application firewall
f IDS
f FIA
4 Agenda
f Honeypot
f VPN
f IPSEC
f SSL
f SSH
f Cartes à puce
f Sécurisation des serveurs
f Sécurisation des postes de travail
4 Agenda
f Analyse comportementale
f S/Mime
f Technologie PKI
f Systèmes d’authentification
4 Modèle de sécurité classique
f Approches « produit » et périmètre
f Des solutions spécifiques, des cellules isolées
f Firewall
f Antivirus
f VPN
f Contrôle de contenu
f Systèmes de détection d’intrusion
f Authentification périphérique
4 Les inconvénients du modèle classique
f Des solutions très spécifiques
f Un manque de cohérence et de cohésion
f L’approche en coquille d’œuf
f Des remparts
f Des applications (le noyau) vulnérables
4 Schématiquement…
Firewall, IDS, etc.
Ressources internes
4 Les enjeux pour le futur
f Fortifier le cœur des infrastructures
f Principalement les applications
f Améliorer la cohérence
f Simplicité d’utilisation
f Définir une norme suivie par les constructeurs & éditeurs
f Amener la confiance dans les transactions électroniques
4 La citadelle électronique
f Modèle de sécurité émergent
f Approche en couches ou en strates
f Chaque couche hérite du niveau inférieur
f Les applications et les biens gravitent autour d’un noyau de sécurité
4 Approche en couche
f 1) Architecture
f 2) Protocoles réseaux
f 3) Systèmes d’exploitations
f 4) Applications
4 Architecture
f Sécurisation des accès bâtiments
f Segmentation & Cloisonnement IP
f Segmentation & Cloisonnement physique
f Choix d’environnement (Switch, hub, etc)
f Mise en place de Firewall
f Configuration de routeur (ACL)
f Disponibilité
f Etc.
4 Protocoles réseaux
f TCP/IP, IPSec, L2TP, PPTP, etc.
f Anti SYNFlooding
f Anti spoofing
f « Kernel » réseau à sécuriser
f D0S, DD0S
f Architecture réseaux (routeurs et switchs)
f Etc.
4 Systèmes d’exploitation
f Sécurisation des OS
f Restriction des services
f Mise en place de FIA
f Détection d’intrusions sur les OS
f Analyse comportementale
f Authentification forte
f Sécurisation de l’administration
f Sauvegarde régulière
f Logging & Monitoring
4 Applications
f Chaque application est sécurisée
f BoF
f Contrôle de qualité du code
f Cryptage des données sensibles
f DB, Cartes de crédits
f Base d’utilisateurs
f Etc.
f Authentification forte des accès
f Signature électronique
f Etc.
4 Schématiquement…
Architecture
Protocoles réseaux O.S.
Applications
4 Pour répondre à ce challenge ?
f Une démarche
f La politique de sécurité
f Des services de sécurité
f Authentification
f Confidentialité
f Intégrité
f Non répudiation
f Autorisation
f Disponibilité
4 Et des technologies…
f Firewalls
f IDS
f Analyse de contenu
f FIA
f AntiVirus
f VPN
f Systèmes d’authentifications
f PKI…
Les outils de sécurité
Sécurité contre l’intrusion informatique La citadelle électronique
4 Les firewalls: définition de base
f Outil de contrôle des communications réseaux
f Agit comme un filtre
f Contrôle en temps réel les communications
f Trois grandes familles
f Proxy ou relais applicatifs (niveau 7)
f Packet Filter (niveau 3)
f Stateful Inspection (niveau 3)
f Outil de base de la sécurité…
f N’est plus suffisant !
4 Les firewalls
f Les services standards du firewall
f Contrôle d’accès
f Accounting
f Authentification
f Translation d’adresse (NAT)
f Les autres services
f VPN
f IDS
f Authentification
f Contrôle de contenu (AV, filtrage d’URL, Code mobile, etc.)
f Haute disponibilité
f Etc.
4 Exemple d’implémentation
4 Firewall « packet filter »
4 Firewall « proxy »
Source: Checkpoint 2002
4 Firewall « Stateful Inspection »
4 Exemple avec FTP: packet filter
Source: Checkpoint 2002
4 Exemple avec FTP: proxy
4 Exemple avec FTP: stateful inspection
Source: Checkpoint 2002
4 Exemple de règles firewall: Checkpoint
4 Exemple de « log » avec Checkpoint
4 Translation d’adresses: « NAT »
f Mécanisme de modification des adresses IP source ou/et destination
f Eventuellement changement des ports: PAT
f NAT « Static »
f 1 vers 1
f En source ou en destination
f NAT « Hide »
f N vers 1
f Utilise de la PAT
f Utiliser pour cacher un réseau (accès Internet)
4 Exemple de « NAT »
LAN
192.168.1.3 192.168.1.4
192.168.1.1
192.168.1.2
Illegal IP address 192.168.1.2
Legal IP address
204.32.38.1
Internal External
4 Exemple de « NAT » avec Checkpoint
4 Firewalls: tendance des Appliances
f Concept de « black box »
f Est considéré comme un élément classique du réseau
f Routeur, Switchs, RAS, etc.
f Facilité d’exploitation
f Facilité d’utilisation
f Niveau de sécurité élevé
f Gestion par SSL et/ou SSH
f Performance
f OS de type Unix / Linux
4 Les proxy
f Complémentaire au firewall
f Caching (gain de performance)
f HTTP, FTP, Streaming Vidéo ou Audio
f Auditing
f Fichier de logs
f Qui, Quand, Où
f Authentification (NTLM, Radius, ldap, etc.)
f Interface pour un contrôle de contenu
f ICAP ou Plug-IN
f Analyse virale
f URL Filtering
f Analyse code mobile
4 Exemple d’implémentation avec authentification Microsoft
DMZ
Réseau Interne Proxy Cache
Windows DC
4 Les proxy: configuration des postes clients
f Configuration du navigateur avec adresse IP (ou le nom) et le « port » du proxy
f Proxy Pac
f Fichier de configuration
f Solution transparente
f WCCP
f Ne pas oublier la gestion des exceptions !
4 Reverse Proxy
f Permet d’accéder à un service web via le Reverse Proxy
f Protection du site web (firewall applicatif)
f Filtrage d’url
f Authentification
f Protection DoS (IIS)
f Terminaison SSL
f IDS
f Performance
f Accès aux ressources internes
f Messagerie, extranet, etc.
4 Reverse Proxy
Server within a firewall
The proxy server appears to be the
content server
A client computer on the Internet sends a request to
the proxy server
Firewall CACHE
The proxy server uses a regular mapping to forward the client request
to the internal content server
You can configure the firewall router to allow a specific server on a specific port (in this case, the proxy on its assigned port) to have access through the firewall without allowing any other machine in or out.
http or https http
or https
4 Reverse Proxy: exemple d’implémentation avec authentification forte
DMZ
Reverse Proxy SSL
Serveur de Messagerie
OWA
Réseau Interne Navigateur
Internet
HTTPS
TCP 443 HTTP
TCP 80
RSA Ace Server
4 Filtrage d’URL
f Contrôle d’accès aux sites Internet
f Très utilisé dans les entreprises
f Banques, Industries, Assurances, etc.
f Plusieurs techniques:
f Base de données
f Reconnaissance de mots clés
f Analyse des images
f RSAC
f Etc.
f Peut être utilisé pour la protection des codes mobiles
4 Exemple d’implémentation avec un proxy
Source: Websense 2002
4 Catégorie Websense
4 Contrôle de contenu
f Analyse du contenu des flux de communications
f Analyse des Emails
f Virus
f Taille
f Type de fichiers
f Analyse lexicale
f Etc.
f Analyse des flux HTTP et FTP
f Virus
f Download de fichiers
f Codes mobiles
f Etc.
4 Contrôle des codes mobiles
4 Exemple d’implémentation: codes mobiles
Source: Trendmicro 2002
4 Les Antivirus
f Outils classiques de sécurité
f Plusieurs catégories
f AV pour les serveurs
f AV pour les postes clients
f AV HTTP et FTP
f AV spécifique
f Messagerie (Exchange, Notes, Mailsweeper, etc.)
f La mise à jour doit être très rapide
f Backweb, http, ftp, etc.
4 Web application firewall: la nouvelle tendance
f Protection des services Web par un filtrage des URL
f BoF
f Bad URL
f Back Door
f Cookie poisoning
f Etc.
f Deux approches
f Reverse Proxy
f Agent sur le frontal Web
4 Agent sur le frontal Web
4 Approche Reverse Proxy
Source: Sanctum 2002
4 Système de détection d’intrusions: définition
f Système d’analyse d’informations visant à détecter des événements signalant une intrusion potentielle
f Ces informations peuvent être:
f journal system (logs)
f Journal applicatif
f Sonde réseau (sniffer)
f Sonde « host »
f Etc.
f IDS = Intrusion Detection System
4 Système de détection d’intrusion: architecture
f Outils modernes présentant les éléments structuraux suivants:
f les sondes
f Les concentrateurs d’événements
f La ou les console(s) de gestion
f La ou les console(s) des alertes
4 Système de détection d’intrusions: architecture
sonde sonde sonde
Console de gestion
Console des alertes Concentrateur D’événements
Configuration Signatures Update Software update
Alertes
Alertes
4 Système de détection d’intrusion: la sonde
Capture Mise en forme
Analyse Exportation
Informations système Réseaux, Etc.
Donnée Brute Evénement
Alerte
Vers concentrateur D’événements
4 Système de détection d’intrusions: type de sonde
f Sondes systèmes: HIDS
f Analyse des événements de type système et/ou de type application (serveur web, db, etc.)
f Sonde réseau: NIDS
f Analyse des événements réseaux
f Généralement en écoute sur un HUB ou switch (copy port)
f Embarquée dans le switch
f Sonde mixte: Mixed IDS
f Analyse réseau sur un host
4 Système de détection d’intrusions: algorithmes d’analyse
f Actuellement 2 approches
f Approche scénario (knowledge base scenario)
f Basée sur une base d’attaques connues
f Approche comportementale (Anomaly Detection)
f Définition du comportement « normal » des systèmes informatiques
f Exclusion des événements non-standards
f Actuellement en phase de test
4 Système de détection d’intrusions: les contres-mesures
f Possibilité de générer une contre-mesure suite à une attaques
f Interaction avec un firewall
f SAM de Checkpoint
f Isolement d’une machine attaquée (Islanding)
f Ralentissement de la connexion avec l’attaquant (throlting)
f Etc.
f Attention au DoS …
4 Système de détection d’intrusions: exemple d’implémentation
IDS externe
DMZ IDS
IDS interne
IDS serveur
= NIDS
= HIDS
Sensitives Internal servers
IDS Console
4 ISS RealSecure: architecture distribuée
Source:
ISS 2002
4 ISS RealSecure: console des alertes
Exemple:
http cmd.exe IIS Serveur
4 ISS RealSecure: console de configuration d’une sonde
4 ISS Real Secure: configuration d’une contre mesure
Display Log DB
Etc.
4 Système de détection d’intrusions: domaine public
f Très bon outils
f Mais… demande du temps à mettre en œuvre et au suivi
f Excellent comme outil didactique
f Projet Snort
f http://www.snort.org
f Projet Prelude
f http://www-prelude-ids.org
4 Système de détection d’intrusion: les limitations
f Ne pas se baser uniquement sur la mise en œuvre d’un IDS
f Possibilité de contourner les IDS
f Analyse comportementale
f Nouvelles attaques pas connues !
4 Contrôle d’intégrité des systèmes (FIA)
f Famille des IDS
f Outil très puissant pour détecter les altérations des systèmes
f Complément des HIDS et NIDS
f FIA = File Integrity Assesment
4 Contrôle d’intégrité des systèmes (FIA): fonctionnement
f Utilisation de fonctions crytographiques
f Fonctions de hashage (md5, sha1, etc,)
f Fonctions de signatures électroniques (RSA, DSA)
f Création d’une « Base Line » des fichiers surveillés
f « Photo du système »
f Comparaison régulière avec la « Base Line » de référence
4 Contrôle d’intégrité des systèmes (FIA): fonctionnement
Signature Clé privée
Hash
Fonction De Hashage
Fonction De Signature Fichier A
Base Line
Signature A
Fichier A = FA12Ab…
Signature Base Line
?
=
4 Contrôle d’intégrité des systèmes (FIA): mise en œuvre
f Définition des fichiers a surveiller
f Deux approches
f Approche inclusive
f Approche exclusive
f Définition du type de fichier
f Logs, configuration, drivers, registry, etc.
f Définition de la périodicité des « Checks »
f Attention ressources CPU
f Mise en production
4 Contrôle d’intégrité des systèmes (FIA): Tripwire
f Leader du marché FIA
f Architecture distribuée
f Tripwire server
f Tripwire Manager (Console de management)
f Création de « Policy File »
f Spécification « directory » et fichiers à surveiller
f Maintenant avec un « Wizard » !
4 Contrôle d’intégrité des systèmes (FIA): Tripwire Manager
4 Contrôle d’intégrité des systèmes (FIA): Tripwire Reporting
4 Contrôle d’intégrité des systèmes (FIA): exemple d’implémentation
Microsoft NT 4.0, Win2K
Unix
Solaris, Aix, HP, Linux
Cisco
Web Serveur IIS, Apache
4 Honeypot: mieux apprendre pour mieux se protéger
f Leurres pour les « Black Hat »…
f Permet aux « Black Hat » d’attaquer et de compromettre le système
f But principal: apprendre les techniques d’attaques
f Compléments aux IDS
f Permet de déceler les attaques « à la source »
f Un outil de recherche
4 Honeypot: fonctionnement
f Emulation d’un système ou de plusieurs systèmes d’exploitation
f Emulation d’une application ou de plusieurs applications (service)
f Web Server, DNS, etc.
f Tous les accès sont « logger »
f Tout trafic vers le Honeypot est considéré comme suspect !
4 Honeypot: références
f
Projet Honeynet
f http://project.honeynet.org
f http://www.tracking-hackers.com
f Produits
f ManTrap
f Specter
f Back Officer Friendly
f Honeyd
f Deception Tool Kit
f Livre: Know You Enemy
4 VPN
f Technologie pour sécuriser les communications
f Intégrité
f Authentification
f Confidentialité
f Plusieurs approches
f IPSEC
f SSL
f SSH
f PPTP
f L2TP
f Etc.
4 VPN
f Différentes topologies
f Client à site (Accès distant)
f Site à site
f Client à serveur
f Serveur à serveur
f Client à client
4 Exemple VPN: Accès distants
4 Exemple VPN: Site à site
4 IPSEC
f IPSEC = IP Security
f IETF (RFCs 2401-2406)
f Fournit du chiffrement et intégrité au paquets IP
f Authentification mutuelle
f Support de PKI
f Certificat pour les « gateway »
f Certificat pour les clients
f Support de la révocation
4 IPSEC
f Deux option de sécurité
f AH: Intégrité et authentification
f ESP: Intégrité, authentification et confidentialité
f AH et ESP peuvent être utilisé en:
f Mode Transport
f Mode Tunnel
4 IPSEC: Transport Mode
Internet
Host A IPsec Host B
Source: SSH.COM 2002
4 IPSEC: Tunnel Mode
Internet
Host A Host B
IPsec
4 IPSEC: AH
IP header TCP/UDP header Upper layer payload
IP header TCP/UDP
header Upper layer payload AH header
(SPI, SEQ)
Authenticated
IP header TCP/UDP
header Upper layer payload
IP header TCP/UDP
header Upper layer payload AH header
(SPI, SEQ)
Authenticated IP header
AH in transport mode
AH in tunnel mode
Source: SSH.COM 2002
4 IPSEC: ESP
IP header TCP/UDP
header Upper layer payload
IP header TCP/UDP header Upper layer
payload ESP header
(SPI, SEQ)
Authenticated
ESP trailer ESP auth
Encrypted
IP header TCP/UDP
header Upper layer payload
IP header TCP/UDP
header Upper layer payload ESP header
(SPI, SEQ) ESP trailer
(Padding) ESP auth Encrypted
IP header
ESP in transport mode
ESP in tunnel mode
Authenticated
4 IPSEC: échange des clés (IKE)
1) IKE SA
2) IPSec SAs
IPsec
device IPsec
device
Source: SSH.COM 2002
4 SSL: technologie PKI par excellence
f Secure Sockets Layer TCP/IP socket encryption
f Fournit des mécanismes de protection des communications
f Confidentialité
f Contrôle d’intégrité
f Authentification
f Utilise la technologie PKI (certificat) pour l’authentification du serveur et la négociation SSL
f Certificat public (Verisign, Thawte, etc.)
f Eventuellement peut authentifier le client (option)
f PKI Interne par exemple
4 SSL: l’historique
f
SSL v1 par Netscape en 1994
f Usage Interne seulement
f
SSL v2 avec Navigator 1.0 and 2.0
f
SSL v3 dernière version
f
TLS v1 repris par l’IETF
f Aka SSL v3.1
4 Protocole SSL
f Entre la couche applicative et TCP
4 Ports SSL (IANA)
f nsiiops 261/tcp # IIOP Name Service over TLS/SSL
f https 443/tcp # http protocol over TLS/SSL
f smtps 465/tcp # smtp protocol over TLS/SSL (was ssmtp)
f nntps 563/tcp # nntp protocol over TLS/SSL (was snntp)
f imap4-ssl 585/tcp # IMAP4+SSL (use 993 instead)
f sshell 614/tcp # SSLshell
f ldaps 636/tcp # ldap protocol over TLS/SSL (was sldap)
f ftps-data 989/tcp # ftp protocol, data, over TLS/SSL
f ftps 990/tcp # ftp protocol, control, over TLS/SSL
f telnets 992/tcp # telnet protocol over TLS/SSL
f imaps 993/tcp # imap4 protocol over TLS/SSL
f ircs 994/tcp # irc protocol over TLS/SSL
f pop3s 995/tcp # pop3 protocol over TLS/SSL (was spop3)
f msft-gc-ssl 3269/tcp # Microsoft Global Catalog with LDAP
4 SSL: authentification client avec certificat X509
Web Server SSL
Challenge Response SSL / TLS
PKCS#12
Smartcard
Token USB
4 SSL: sécurisation du serveur (HSM)
HSM
Web Server SSL Smartcards
SSL Acceleration
SSL or TLS
4 SSL / TLS tunneling
DMZ
SSL Serveur
Serveur de Messagerie
Notes
Réseau Interne Client Notes
Client SSL
Tunnel SSL 3DES TCP 443
TCP 1352
4 SSH
f Famille des VPN
f SSH = Secure Shell
f Defacto Standard maintenant
f Environ 8 millions utilisateurs
f Solution de remplacement de telnet, ftp et les commandes R (Unix)
f Existe pour toutes les plates-formes Unix et aussi NT
f Fournit
f Chiffrement (AES, DES, 3DES, etc.)
f Intégrité
f Authentification
f Très recommander dans les environnements UNIX
f Simple à mettre en œuvre
4 SSH: système d’authentification
f Supporte plusieurs modes d’authentications
f Authentifications « Classiques »
f SecurID
f Public Key
f Pam
f Kerberos
f Etc.
f Authentifications basées sur PKI
f Utilisation d’un certificat X509
f Smartcard ou clé USB
f Validation des certificats (OCSP ou CRL)
f Solutions éprouvées et robustes
4 Exemple d’implémentation SSH: authentification forte
SSH Serveur
Ace Serveur VA
1) SecurID 2) PKI / OCSP
SSH V3 AES 256
SSH Client
4 Solution VPN avec SSH
Internet
Secured Tunnel
Corporate LAN Corporate LAN
Mail Mail Server Server
Remote User Remote User Secure File
Transfer
Secure Shell Server
Intranet
FileFile Server Server
Web Web Server Server Firewall
Firewall
Secure Shell Server Secure
Shell Server
4 Chiffrement de fichiers
f Deux approches
f Chiffrement du disque dur
f Chiffrement de certains fichiers
f Bonne solution pour les « laptop »
f Intégration avec les cartes à puces ou USB
f Gestion des clés de chiffrement
f Key Recovery !
f Chiffrement de base de données
4 Carte à puce
f Carte à puce ou Smartcard (ISO 7810 54x85x0.8mm)
f Carte mutli-applications
f Pay TV
f Banques (EC, Carte bleu, Visa, etc.)
f GSM
f Médical
f Informatique
f Etc.
4 Carte à puce et l’informatique
f Souvent couplée au stockage des clés privées et certificats X509 (PKI)
f Peux contenir des « Credentials »
f Windows NT4, voir 2000
f Reduce Sign-On
f Fournit de l’authentification forte
f PIN et la carte
f Protégées contre la « Brute Force »
4 Carte à puce et PKI
f Deux types de cartes
f Carte mémoire
f Carte avec un Processeur Cryptographique (RSA, DSA, etc.)
f Applications:
f Sign Sign ON (Windows 2000 et PKINIT)
f Messagerie
f Chiffrement de fichiers
f Signature de documents
f Portail Web
f VPN (Accès distant)
f Etc.
4 Tokens USB
f Même approche que les cartes à puces
f Deux types de cartes
f Carte mémoire
f Carte avec un Processeur Cryptographique (RSA, DSA, etc.)
f Moins de sécurité que les cartes à puces
f Accès physique moins compliqué
f Grand succès pour les postes nomades
4 Exemple avec Windows 2000: Smartcard Logon
Support natif des cartes à puces Norme PC/SC Crypto API
PIN Number
4 Sécurisation des serveurs
f Sécurisation de l’accès aux serveurs
f Authentification forte (SecurID, Carte à puce, etc.)
f Technologie VPN (SSH, IPSEC, etc.)
f Mise en œuvre d’une politique d’application des
« Patchs »
f Machines de tests
f Backup
f Mise en place d’une politique de backup
f Segmentation (firewall)
f Haute disponibilité (HA)
4 Sécurisation des serveurs
f Sécurisation de l’OS
f Restriction des services
f Accounting (Syslog, SNMP, etc.)
f FIA
f Blindage du stack IP (DoS)
f Firewall (ACL, TCP Wrapper, etc.)
f Gestion des droits
f Jail (UNIX)
f Analyse comportementale
f Etc.
4 Sécurisation des postes clients
f L’accès à Internet amène des problématique de sécurité pour les postes de travail
f Virus, Pests, Trojan, Backdoor
f Lié à la messagerie et au surf
f L’idée est de garantir l’intégrité des postes
f Ces postes ont accès à des informations sensibles
f ERP, Back Office, Bases de données, etc.
f La problématique pour la sécurisation:
f Gestion du parc des postes de travail
4 Sécurisation des postes clients
f L’approche classique
f Anti Virus
f Gestion des droits (par exemple GPO Win2k)
f La tendance
f Firewall personnel
f Analyse comportementale
f Contrôle des codes mobiles
f Contrôle d’intégrité (FIA)
f Authenfication forte
4 Firewall Personnel
f Fonctionnalités de base
f Filtrage IP en entrée et sortie
f Lien entre les filtres et les applications
f Apprentissage automatique (POP-UP)
f Fonctionnalités avancées
f Code mobiles (Sandbox)
f Contrôle des cookies
f IDS
f Analyse du comportement
f Etc.
4 Analyse comportementale
f Nouveaux outils de sécurité
f Prévention des intrusions
f Capable de bloquer les attaques inconnues
f Détecte les intrusions et les bloques
f Blocage des attaques de BoF
f (60% des attaques selon le CERT 2002)
f Simple à mettre en œuvre
4 System Call Interception : la technologie de base
Program A
Program B
Program C
OS Kernel
Network Driver
Disk Driver
Other Drivers
User Mode Kernel Mode
System Call Table
fopen unlink rndir
Source: Entercept 2002
4 System Call Interception: la technologie de base
Program A
Program B
Program C
OS Kernel
Network Driver
Disk Driver
Other Drivers
User Mode Kernel Mode
System Call Table
fopen unlink rndir
4 Solution Entercept
Management
Serveur WEB Serveur Unix
Notification
Reporting
Serveur NT et 2000
4 Entercept: Console
4 Entercept: SecureSelect
Warning Mode
Protection Mode
Vault Mode
Increasing Security
Source: Entercept 2002
4 S/MIME
f Secure Mime
f Solution de sécurisation de la messagerie
f Standard IETF
f Microsoft, Lotus, Laboratoires RSA, etc.
f Services de sécurité
f L’authentification
f La confidentialité
f L’intégrité
f La non-répudation
4 S/MIME
f Utilise la technologie PKI
f Certificats personnels X509
f Autorité de certification publique ou privée
f Support des algorithmes symétriques
f DES, 3DES, RC2, etc.
f Application très simple à utiliser
f Support natif dans Outlook, Lotus, Netscape, etc.
4 S/MIME
Alice
Bob
S/Mime
3DES / RSA Signature Certificat
Personnel
Certificat Personnel Autorité
de certification public ou privée
4 S/MIME: exemple avec Outlook
Signature du message
4 S/MIME: exemple avec Outlook
4 S/MIME: exemple avec Outlook
Message signé
4 S/MIME: exemple avec Outlook
4 S/MIME: exemple avec Outlook
Message modifié
Technologie PKI
Introduction à la sécurité informatique La citadelle électronique
4 Technolgie PKI: définition
f Infrastructure pour la gestion des clés publiques
f Software et hardware
f Procédures
f Fournit des mécanismes:
f Authentification
f Signature
f Non-repudation
f Confidentialité
f Intégrité
f Utilise la notion de certificats (X509)
4 Cryptographie de base et PKI
f Secret Key
f Public Key
f Message Digest
f Nombres aléatoire
f Signature numérique
f Certificat numérique
f PKI
f RA, CA, Revocation, ldap
4 Secret Key: Alice et Bob
Plain Text Ciphertext Plain Text
Secret Key Secret Key
4 Secret Key: avantages et inconvénients
f Avantages
f Rapidité
f Simplicité
f Fiabilité
f Inconvénients
f Gestion des clés complexes
f Partage de la clé secrète
f Grand nombres de clés
4 Secret Key
f Quelques algorithmes
f DES
f 3DES
f AES
f RC4
f Etc.
f Technologies qui les utilisent…
f IPSEC
f SSL
f SSH
f Etc.
4 Public Key: Alice and Bob (Chiffrement)
Plain Text Ciphertext Plain Text
Bob’s Public Key
Bob’s Private Key
4 Public Key: Alice and Bob (Signature)
Plain Text Plain Text
Ciphertext Ou Signature
Alice’s Private Key
Alice’s Public Key
4 Public Key: avantages et inconvénients
f Avantages
f Gestion des clés
f Pas de partage de secret
f Signature numérique
f Inconvénients
f Pas rapide
f Longueur des clés (1024, 2048, etc.)
4 Public Key
f Exemple d’algorithmes
f RSA
f DSA
f El Gamal
f RSA est dit réversible
f Chiffrement et signature
f Utilisation
f PKI
f SSL, IPSEC, SSH
f Etc.
4 Message digest
Digest
Input
Fonction Hash
Output / Résultat
4 Message digest
f Fonction de hashage
f Md3, Md4
f MD5
f Sha1
f Ripemd
f Utilisation
f signature numérique
f Crontôle de « checksum »
f Outils FIA
f MAC
f Etc.
4 Nombres aléatoires
f Deux familles
f PRNG
f Vrai nombres aléatoires
f Très important pour la cryptographie
f Génération des clés de session
4 Signature numérique: exemple de création avec RSA et md5
Digest
Alice’s Private Key
Vers BOB
MD5
RSA
4 Signature numérique: vérification
Digest A’
Digest A
Alice’s Public Key
MD5
RSA
= ?
4 RSA Key Wrapping
Source: PGP
4 RSA Key Wrapping
4 Man in the Midle !
Alice
Charly
Interception des clés publique
Bob
4 Notion de confiance
Alice Charly
Bob Autorité de certification
No more Charly
4 Notion de certificat numérique
f Lien entre une entité et une clé publique
f L’entité peut être:
f Une personne
f Une machine
f Une entreprise
f Etc.
f La signature digitale garantit ce lien (certificat)
f Il existe une norme: X509
4 Le certificat est analogue à un passeport
4 Certificat X509
4 Format Certificat X509
4 Format Certificat X509
4 Vérification du certificat
4 Architecture PKI: les composants de bases
f Certificats X509
f Autorité de certification (CA)
f Autorité d’enregistrement (RA)
f Autorité de validation (VA)
f Annuaires
f Archivage
4 Autorité de certification (CA)
f L’entité qui délivre les certificats
f Le tiers de confiance
f L’entité qui publie les certificats dans un annuaire
f L’entité qui génère les listes de révocation
4 Autorité de souscription (RA)
f Bureau d’enregistrement
f Reçoit les requêtes de certification
f Obéit à la structure granulaire de l’entreprise
f Identification du requérant
4 Autorité de validation (VA)
f Service on-line
f Contrôle de validité des certificats
f Réponse: valide/invalide/inconnue
f Plus efficace que les CRLs
f Minimise le trafique
f Etat en temps réel
4 Annuaires
f Structure hiérarchisée de type x.500
f Liste des liens entre utilisateurs et certificats
f Peut contenir des listes de révocation (CRL)
4 Archivage
f Stockage à long terme des clés de chiffrement
f Key recovery
f Perte des clés
f Vol
f Etc.
f Procédure de récupération des clés
f Pas de stockage des clés de signature
f Non répudiation
4 Exemple: obtention d’un certificat
4
User enrolls for certificate
http://www http://www
User mailed retrieval PIN
User retrieves certificate
http://www http://www
Admin Approves request
http://www http://www
User mailed ack.
Admin mailed notification
Certificate installed LDAP
RA
CA
Exemple: obtention d’un certificat
4 Les applications PKI
f Sécurisation de la messagerie
f VPN, Accès distants
f Portail Web, e-commerce
f Transactions électroniques
f Publications électroniques
f Single Sign On
f Etc.
Systèmes d’authentification
Introduction à la sécurité informatique La citadelle électronique
4 Systèmes d’authentification: introduction
f Tour d’horizon des technologies d’authentification
f Clé de voûte pour la construction de la citadelle électronique
f 1er besoin pour la sécurité du système d’information
4 Systèmes d’authentification: la base des services de sécurité
f L’identification et l’authentification: des services de sécurité de base
f Autorisation
f Auditing
f Non-répudiation
f Confidentialité
4 Systèmes d’authentification: identification et authentification ?
f Identification
f Qui êtes vous ?
f Authentification
f Prouvez le !
4 Les 6 éléments d’un système d’authentification
f Entité ou personne
f Caractéristique unique
f Propriétaire du système
f Mécanisme d’authentification
f Mécanisme de contrôle d’accès
f Mécanisme d’archivage
4 Exemple avec Ali Baba …
f Entité
f La personne qui connait le mot de passe
f Caractéristique Unique
f Le mot de passe: « Sésame, ouvre toi ! »
f Le propriétaire de la caverne
f Ali Baba et Les 40 voleurs
4 Exemple avec Ali Baba…
f Mécanisme d’authentification
f Elément magique qui répond au mot de passe
f Mécanisme de contrôle d’accès
f Mécanisme pour rouler la pierre ou les pierres
f Mécanisme d’archivage
f Journal des événements
