• Aucun résultat trouvé

SSL ET IPSEC. Licence Pro ATC Amel Guetat

N/A
N/A
Protected

Academic year: 2022

Partager "SSL ET IPSEC. Licence Pro ATC Amel Guetat"

Copied!
24
0
0

Texte intégral

(1)

SSL ET IPSEC

Licence Pro ATC Amel Guetat

(2)

LES APPLICATIONS DU CHIFFREMENT

Le protocole SSL

(Secure Socket Layer)

La sécurité réseau avec IPSec

(IP Security Protocol)

(3)

SSL - SECURE SOCKET LAYER

Historique

Le protocole SSL fut créé par Netscape

SSL Version 1.0 – 1994 - Netscape

SSL Version 2.0 – 1995 – Netscape

SSL Version 3.0 – 1996 - Netscape

TLS Version 1.0 -1999 - IETF

(4)

SSL V3 - SECURE SOCKET LAYER

Objectifs

Sécurisation transparente de protocoles existants (

HTTP, etc

)

Fournir des services de sécurité (

moyens cryptographiques

)

Authentification via des certificats X.509

du serveur authentification unidirectionnelle

du serveur et du client authentification bidirectionnelle

Confidentialité des sessions par chiffrement

Intégrité via empreintes (MAC - Message Authentification Code)

Rapidité

Utilisation de clés de sessions secrètes (algorithme symétrique)

Extensibilité et interopérabilité

Négociation des algorithmes cryptographiques

Robustesse (

résistance aux attaques

)

(5)

ARCHITECTURE

(6)

SSL V3 - SECURE SOCKET LAYER

Sous-protocoles

SSL est constitué de 4 sous-protocoles

Client Application

Server Application

SSL SSL

TCP/IP TCP/IP

Client Serveur

SSL Alert*

SSL Handshake

SSL Change Cipher Spec*

SSL Record

Server Application

TCP/IP

* Inexistant dans SSL v2

(7)

SOUS-PROTOCOLE HANDSHAKE

Objectifs

Authentification du serveur et/ou du client

Échange et vérification de certificats

Négociation des spécifications de chiffrement (Cipher Spec)

Algorithme pour l’échange de clés

Algorithme pour le chiffrement

Algorithme pour le calcul des empreintes (MAC)

Génère une clé de session maître (symétrique) définissant

Une clé de chiffrement pour le serveur

Une clé de chiffrement pour le client

Des clés pour sécuriser les empreintes (MAC)

(8)

SOUS-PROTOCOLE HANDSHAKE

Messages échangés

ClientHello

ServerHello Certificate*

CertificateRequest*

ServerKeyExchange*

ServerHelloDone Certificate*

ClientKeyExchange CertificateVerify*

Change_Cipher_Spec Finished

Change_Cipher_Spec Finished

Client

Serveur

(*) Champs optionnels ou fonction de la situation

Phase 1 : Établissement des paramètres de sécurité

Phase 2 : Authentification du serveur et échange de clés

Phase 3 : Authentification du client et échange de clés

Phase 4 : Fin

(9)

SOUS-PROTOCOLE HANDSHAKE

Composition d’un message

Acheminement par le sous-protocole Record

Certains messages sont optionnels

Authentification du client, si le serveur ne le demande pas

Échange de clé, si le client et le serveur ont dans leur cache les informations

Type Longueur Données

1 octet 3 octets

(10)

SOUS-PROTOCOLE HANDSHAKE

Algorithmes d’échange de clés (Server_Key_Exchange)

RSA

Diffie-Hellman

Différentes suites cryptographies utilisant RSA

Suite cryptographique la plus forte

Triple DES (168 bits) + SHA (autorisé uniquement aux USA)

Suites cryptographiques fortes

RC4 (128 bits) + MD5 (seuls 40 bits sont vraiment secrets)

DES (56 bits) + SHA

Suites cryptographiques exportables

RC4 (40 bits) + MD5

RC2 (40 bits) + MD5

Suite cryptographique la plus faible

Pas de chiffrement + MD5

(11)

SOUS-PROTOCOLE

CHANGE CIPHER SPEC

Permet de signaler des transitions dans les stratégies de chiffrement

Envoi réciproque d’un message simple pour indiquer que les messages suivants utilisent les nouveaux paramètres négociés.

1 1 octet

(12)

SOUS-PROTOCOLE ALERT

Il définit plusieurs niveaux d’alerte avec

plusieurs alertes possibles (Très riche dans TLS 1.0)

Certaines alertes sont définies pour

entraîner l’arrêt immédiat de la session

Level 1 octet

Alert 1 octet

(13)

SOUS-PROTOCOLE RECORD

Réceptionne les données des couches supérieures

Traite les paquets de données:

Fragmentation en unités de 16Ko qui sont compressées

Calcul d’une empreinte (MAC) qui est ajoutée au fragment

Chiffrement symétrique du résultat suivant l’algo

spécifié

Ajout d ’une en-tête SSL

(14)

ATTAQUES SUR SSL

Attaque par l’homme du milieu

Le pirate tente d’usurper l’identité du serveur vis-à- vis du client

Solution: Utiliser des certificats signés par

des autorités de certification de confiance

(15)

SSL V3 - SECURE SOCKET LAYER

Conclusions

Largement utilisé pour mettre en œuvre des VPN (Virtual Private Network) de niveau applicatif

Ports des applications qui utilisent SSL

FTPS : 990

HTTPS : 443

SSMTP : 465

SNNTP : 563

SPOP3 : 995

Maturité

SSL sécurise les échanges, pas les applications

(16)

LES APPLICATIONS DU CHIFFREMENT

Le protocole SSL

(Secure Socket Layer)

La sécurité réseau avec IPSec

(IP Security Protocol)

(17)

SERVICE FOURNIS PAR IPSEC

Confidentialité des données : cryptage à clé symétrique (DES, 3DES, AES, etc).

Intégrité et authentification : signature de l’en-tête (MD5 ou SHA).

Protection contre la retransmission : utilisation d’un numéro de séquence.

Authentification de l’utilisateur : clé partagée ou certificats

Création de VPN

(18)

UTILISATION D’IPSEC (1)

Internet

Privé Privé

Privé

Serveur

Internet

Poste de travail

Virtual Private Network

Réseaux privés distants 1 VPN

Accès sécurisé

(19)

UTILISATION D’IPSEC (2)

Réseau privé

Ordinateur portable Passerelle

Internet

Tunnel

Extranet

Utilisateurs mobiles / distants

Tunnel accès au réseau privé

(20)

VPN

Les réseaux privés virtuels (VPN : Virtual Private Network)

permettent à l'utilisateur de créer un chemin virtuel sécurisé entre une source et une destination.

Principe : Tunnelling

Services : cryptage des données, authentification des deux extrémités communicantes et intégrité des données.

VPN est une collection de technologies appliquées au réseau public, Internet, pour fournir les besoins d’un réseau privé …

Analogie : VPN fournit des services comme s’il y avait une ligne de télécommunications privée et propre à l’entreprise

(21)

Protocoles de sécurité :

AH (Authentication Header)

Authentifie et protège l’intégrité des datagrammes IP

Protection contre le re-jeu par numérotation des paquets

ESP (Encapsulating Security Payload)

Assure la confidentialité, l’authentification et protège l’intégrité des datagrammes IP

Protection contre le re-jeu par numérotation des paquets

Protocole d'échange de clefs :

IKE (Internet Key Exchange):

Assure la négociation de la SA (Security Association) pour chaque lien qu’établit un ordinateur avec un autre ordinateur

COMPOSANTS D’IPSEC

(22)

IPSEC - IP SECURITY PROTOCOL

AH - Authentication Header

Assure l’intégrité des données transférées.

Chaque paquet est numéroté dans l’en-tête AH

Mode transport : transport ou tunnel

Transport : l’en-tête du paquet sécurisé est l’en-tête initiale

Tunnel : nouvelle en-tête IP pour chaque paquet sécurisé

En-tête IP En-tête AH En-tête TCP/UDP Données En-tête IP En-tête TCP/UDP Données

Authentifié

(23)

IPSEC - IP SECURITY PROTOCOL

ESP - Encapsulating Security Payload

Chiffrement

Authentification

Chaque paquet est numéroté dans l’en-tête ESP

Mode transport : transport ou tunnel

Transport : l’en-tête du paquet sécurisé est l’en-tête initiale

Tunnel : nouvelle en-tête IP pour chaque paquet sécurisé

En-tête IP En-tête ESP En-tête TCP/UDP Données En-tête IP En-tête TCP/UDP Données

ESPt ESPa

Authentifié

Chiffré

(24)

BIBLIOGRAPHIE

Halte aux hackers (2

nde

édition)

McClure/Scambray/Kurtz - Osman Eyrolles Multimédia

ISBN : 2746402920

L’internet sécurisé

Larchet - Eyrolles

ISBN : 2212091370

Sécurité optimale :

Pour protéger vos sites Web et votre réseau

Anonyme - Campus Press

ISBN : 2744012343

Le Grand Livre de SecuriteInfo.com

http://www.securiteinfo.com

Références

Documents relatifs

Ce modèle original vous est offert par

Ce modèle original vous est offert par

coudre quelques bouts de laine blanche pour créer une petite barbe. Coller

Ce modèle original vous est offert par

Alors que, dans le monde entier, on travaille à l’éradication de la polio, ne tenons pas pour acquis les outils les plus puissants pour la prévention que

Construite en calcaire lutétien la cathédrale a vu ses pierres abîmées par le feu et l’eau utilisée pour éteindre l’incendie.. « La chaleur cuit le calcaire qui

Comme il y a des NCP distincts pour IPv4 et IPv6, le présent document définit des options de configuration à utiliser dans les deux NCP pour négocier les paramètres pour le schéma

La classification implique comment est construit l'en-tête compressé. Aucun champ qui est NOCHANGE ou INFÉRÉ n'est présent dans un en-tête compressé. Un compresseur obtient