SSL ET IPSEC
Licence Pro ATC Amel Guetat
LES APPLICATIONS DU CHIFFREMENT
Le protocole SSL
(Secure Socket Layer)
La sécurité réseau avec IPSec
(IP Security Protocol)SSL - SECURE SOCKET LAYER
Historique
Le protocole SSL fut créé par Netscape
SSL Version 1.0 – 1994 - Netscape
SSL Version 2.0 – 1995 – Netscape
SSL Version 3.0 – 1996 - Netscape
TLS Version 1.0 -1999 - IETF
SSL V3 - SECURE SOCKET LAYER
Objectifs
Sécurisation transparente de protocoles existants (
HTTP, etc)
Fournir des services de sécurité (
moyens cryptographiques)
Authentification via des certificats X.509
du serveur authentification unidirectionnelle
du serveur et du client authentification bidirectionnelle
Confidentialité des sessions par chiffrement
Intégrité via empreintes (MAC - Message Authentification Code)
Rapidité
Utilisation de clés de sessions secrètes (algorithme symétrique)
Extensibilité et interopérabilité
Négociation des algorithmes cryptographiques
Robustesse (
résistance aux attaques)
ARCHITECTURE
SSL V3 - SECURE SOCKET LAYER
Sous-protocoles
SSL est constitué de 4 sous-protocoles
Client Application
Server Application
SSL SSL
TCP/IP TCP/IP
Client Serveur
SSL Alert*
SSL Handshake
SSL Change Cipher Spec*
SSL Record
Server Application
TCP/IP
* Inexistant dans SSL v2
SOUS-PROTOCOLE HANDSHAKE
Objectifs
Authentification du serveur et/ou du client
Échange et vérification de certificats
Négociation des spécifications de chiffrement (Cipher Spec)
Algorithme pour l’échange de clés
Algorithme pour le chiffrement
Algorithme pour le calcul des empreintes (MAC)
Génère une clé de session maître (symétrique) définissant
Une clé de chiffrement pour le serveur
Une clé de chiffrement pour le client
Des clés pour sécuriser les empreintes (MAC)
SOUS-PROTOCOLE HANDSHAKE
Messages échangés
ClientHello
ServerHello Certificate*
CertificateRequest*
ServerKeyExchange*
ServerHelloDone Certificate*
ClientKeyExchange CertificateVerify*
Change_Cipher_Spec Finished
Change_Cipher_Spec Finished
Client
Serveur
(*) Champs optionnels ou fonction de la situation
Phase 1 : Établissement des paramètres de sécurité
Phase 2 : Authentification du serveur et échange de clés
Phase 3 : Authentification du client et échange de clés
Phase 4 : Fin
SOUS-PROTOCOLE HANDSHAKE
Composition d’un message
Acheminement par le sous-protocole Record
Certains messages sont optionnels
Authentification du client, si le serveur ne le demande pas
Échange de clé, si le client et le serveur ont dans leur cache les informations
Type Longueur Données
1 octet 3 octets
SOUS-PROTOCOLE HANDSHAKE
Algorithmes d’échange de clés (Server_Key_Exchange)
RSA
Diffie-Hellman
Différentes suites cryptographies utilisant RSA
Suite cryptographique la plus forte
Triple DES (168 bits) + SHA (autorisé uniquement aux USA)
Suites cryptographiques fortes
RC4 (128 bits) + MD5 (seuls 40 bits sont vraiment secrets)
DES (56 bits) + SHA
Suites cryptographiques exportables
RC4 (40 bits) + MD5
RC2 (40 bits) + MD5
Suite cryptographique la plus faible
Pas de chiffrement + MD5
SOUS-PROTOCOLE
CHANGE CIPHER SPEC
Permet de signaler des transitions dans les stratégies de chiffrement
Envoi réciproque d’un message simple pour indiquer que les messages suivants utilisent les nouveaux paramètres négociés.
1 1 octet
SOUS-PROTOCOLE ALERT
Il définit plusieurs niveaux d’alerte avec
plusieurs alertes possibles (Très riche dans TLS 1.0)
Certaines alertes sont définies pour
entraîner l’arrêt immédiat de la session
Level 1 octet
Alert 1 octet
SOUS-PROTOCOLE RECORD
Réceptionne les données des couches supérieures
Traite les paquets de données:
Fragmentation en unités de 16Ko qui sont compressées
Calcul d’une empreinte (MAC) qui est ajoutée au fragment
Chiffrement symétrique du résultat suivant l’algo
spécifié
Ajout d ’une en-tête SSL
ATTAQUES SUR SSL
Attaque par l’homme du milieu
Le pirate tente d’usurper l’identité du serveur vis-à- vis du client
Solution: Utiliser des certificats signés par
des autorités de certification de confiance
SSL V3 - SECURE SOCKET LAYER
Conclusions
Largement utilisé pour mettre en œuvre des VPN (Virtual Private Network) de niveau applicatif
Ports des applications qui utilisent SSL
FTPS : 990
HTTPS : 443
SSMTP : 465
SNNTP : 563
SPOP3 : 995
Maturité
SSL sécurise les échanges, pas les applications
LES APPLICATIONS DU CHIFFREMENT
Le protocole SSL
(Secure Socket Layer)
La sécurité réseau avec IPSec
(IP Security Protocol)SERVICE FOURNIS PAR IPSEC
Confidentialité des données : cryptage à clé symétrique (DES, 3DES, AES, etc).
Intégrité et authentification : signature de l’en-tête (MD5 ou SHA).
Protection contre la retransmission : utilisation d’un numéro de séquence.
Authentification de l’utilisateur : clé partagée ou certificats
Création de VPN
UTILISATION D’IPSEC (1)
Internet
Privé Privé
Privé
Serveur
Internet
Poste de travail
Virtual Private Network
Réseaux privés distants 1 VPN
Accès sécurisé
UTILISATION D’IPSEC (2)
Réseau privé
Ordinateur portable Passerelle
Internet
Tunnel
Extranet
Utilisateurs mobiles / distants
Tunnel accès au réseau privé
VPN
Les réseaux privés virtuels (VPN : Virtual Private Network)
permettent à l'utilisateur de créer un chemin virtuel sécurisé entre une source et une destination.
Principe : Tunnelling
Services : cryptage des données, authentification des deux extrémités communicantes et intégrité des données.
VPN est une collection de technologies appliquées au réseau public, Internet, pour fournir les besoins d’un réseau privé …
Analogie : VPN fournit des services comme s’il y avait une ligne de télécommunications privée et propre à l’entreprise
Protocoles de sécurité :
AH (Authentication Header)
Authentifie et protège l’intégrité des datagrammes IP
Protection contre le re-jeu par numérotation des paquets
ESP (Encapsulating Security Payload)
Assure la confidentialité, l’authentification et protège l’intégrité des datagrammes IP
Protection contre le re-jeu par numérotation des paquets
Protocole d'échange de clefs :
IKE (Internet Key Exchange):
Assure la négociation de la SA (Security Association) pour chaque lien qu’établit un ordinateur avec un autre ordinateur
COMPOSANTS D’IPSEC
IPSEC - IP SECURITY PROTOCOL
AH - Authentication Header
Assure l’intégrité des données transférées.
Chaque paquet est numéroté dans l’en-tête AH
Mode transport : transport ou tunnel
Transport : l’en-tête du paquet sécurisé est l’en-tête initiale
Tunnel : nouvelle en-tête IP pour chaque paquet sécurisé
En-tête IP En-tête AH En-tête TCP/UDP Données En-tête IP En-tête TCP/UDP Données
Authentifié
IPSEC - IP SECURITY PROTOCOL
ESP - Encapsulating Security Payload
Chiffrement
Authentification
Chaque paquet est numéroté dans l’en-tête ESP
Mode transport : transport ou tunnel
Transport : l’en-tête du paquet sécurisé est l’en-tête initiale
Tunnel : nouvelle en-tête IP pour chaque paquet sécurisé
En-tête IP En-tête ESP En-tête TCP/UDP Données En-tête IP En-tête TCP/UDP Données
ESPt ESPa
Authentifié
Chiffré
BIBLIOGRAPHIE
Halte aux hackers (2
ndeédition)
McClure/Scambray/Kurtz - Osman Eyrolles Multimédia
ISBN : 2746402920
L’internet sécurisé
Larchet - Eyrolles
ISBN : 2212091370
Sécurité optimale :
Pour protéger vos sites Web et votre réseau
Anonyme - Campus Press
ISBN : 2744012343
Le Grand Livre de SecuriteInfo.com
http://www.securiteinfo.com